Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
a cura di
http://www.compliancenet.it/content/compliance-in-banks-2010
versione pdf: http://www.compliancenet.it/documenti/resoconto-compliance-in-banks-2010.pdf
versione 1.0
22 novembre 2010
I loghi ed i contenuti delle presentazioni e delle relazioni commentate nel testo sono di
proprietà dei rispettivi relatori e/o società di appartenenza.
Creative Commons Attribuzione - Non commerciale 2.5 Italia License
http://creativecommons.org/licenses/by-nc/2.5/it/
Commons Deed
Tu sei libero:
• di modificare quest'opera
• Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza,
che va comunicata con chiarezza.
• In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da
questa licenza (agatino.grillo@gmail.com) .
• Questa licenza lascia impregiudicati i diritti morali.
Limitazione di responsabilità
Le utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo
limitati da quanto sopra.
Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.
1
http://creativecommons.org/licenses/by-nc/2.5/it/legalcode
Indice
INDICE..........................................................................................................................I
INFORMAZIONI PRELIMINARI.........................................................................IV
COS’È COMPLIANCENET?................................................................................................IV
CHI È L’AUTORE DI QUESTO DOCUMENTO?...........................................................................IV
COS’È LA COMPLIANCE COMMUNITY DI ABIFORMAZIONE?..................................................... V
PREFAZIONE............................................................................................................. 1
PRIMA SESSIONE - LA COMPLIANCE DOPO LA CRISI: RIPRISTINARE
LA FIDUCIA SUI MERCATI FINANZIARI.......................................................... 3
GIOVANNI SABATINI – INTRODUZIONE AI LAVORI................................................................... 4
La comunità virtuale della compliance di ABI....................................................... 4
Il dibattito sulla Compliance .................................................................................. 4
Compliance in Banks 2010..................................................................................... 5
KRISTIN ARNAR STEFANSSON, HEAD OF COMPLIANCE, ISLANDSBANKI - LE LEZIONI PER LA FUNZIONE
COMPLIANCE GIUNTE DALLA CRISI FINANZIARIA ...................................................................... 6
LUIGI SPADA, RESPONSABILE UFFICIO VIGILANZA E ALBO INTERMEDIARI E AGENTI DI CAMBIO
CONSOB – LE ATTESE DI CONSOB CIRCA LA COMPLIANCE SUI SERVIZI DI INVESTIMENTO ................ 8
Business è responsabilità ....................................................................................... 8
Business e Compliance: due facce della stessa medaglia...................................... 9
La Compliance nei servizi di investimento: alcune scelte di campo...................... 9
RUBENS SANNA, PRESIDENTE COMMISSIONE COMPLIANCE AIBE – ASSOCIAZIONE BANCHE ESTERE IN
ITALIA, COMPLIANCE OFFICER BNP PARIBAS - LE SPECIFICITÀ DI COMPLIANCE DELLE BANCHE
ESTERE IN ITALIA ........................................................................................................... 10
AIDA MAISANO, DIRETTORE, ABIFORMAZIONE - LA CERTIFICAZIONE ABI DELLE CONOSCENZE E
ABILITÀ DI GESTIONE DELLA COMPLIANCE ........................................................................... 12
Resoconto-Compliance-in-Banks-2010 I
Modello di RiskAssessment................................................................................... 18
L’informativa agli organi sociali e ai comitati .................................................... 19
Focus sul rischio reputazionale – l’aderenza al Codice Etico ............................ 19
FERNANDO METELLI, PRESIDENTE AIFIRM – ASSOCIAZIONE ITALIANA FINANCIAL INDUSTRY RISK
MANAGER - INTERAZIONI ORGANIZZATIVE E FUNZIONALI TRA LE ATTIVITÀ DI RISK MANAGEMENT E DI
COMPLIANCE ................................................................................................................ 21
FABIO BOCCHINI, SENIOR MANAGER DELLA SERVICE LINE RISK & COMPLIANCE ACCENTURE -
COMPLIANCE RISK MANAGEMENT: APPROCCIO ALLA VALUTAZIONE DEL RISCHIO DI NON-CONFORMITÀ
.................................................................................................................................. 23
Contesto di riferimento......................................................................................... 23
Approccio al Compliance Risk Assessment.......................................................... 23
Considerazioni conclusive.................................................................................... 24
MARCO PIGLIACAMPO, REFERENTE AREA ANALISI E GESTIONE ABIFORMAZIONE E FEDERICO
MELONI, UFFICIO COORDINAMENTO COMPLIANCE FEDERCASSE - L’EVOLUZIONE DEL SERVIZIO ABICS
VERSO LA GESTIONE AZIENDALE DELLA COMPLIANCE: L’ESPERIENZA DI ABICS-CREDITO
COOPERATIVO............................................................................................................... 25
PAOLO POGLIAGHI, RESPONSABILE COMPLIANCE E RISCHI BCC CARUGATE - LA MISURAZIONE DEL
RISCHIO DI NON CONFORMITÀ FINALIZZATA ALL’ICAAP: L’ESPERIENZA DI UNA PICCOLA BANCA....... 28
Resoconto-Compliance-in-Banks-2010 II
GIUSEPPE AQUARO, MEMBRO COMITATO PER IL SETTORE FINANZIARIO, AIIA – ASSOCIAZIONE
ITALIANA INTERNAL AUDITORS, RESPONSABILE AUDIT ON SITE, UNICREDIT GROUP - IL
COORDINAMENTO COMPLESSIVO DEL SISTEMA DEI CONTROLLI INTERNI IN BANCA........................ 45
CLAUDIO COLA, PRESIDENTE AICOM – ASSOCIAZIONE ITALIANA COMPLIANCE, RESPONSABILE
COMPLIANCE DEXIA - LA FUNZIONE COMPLIANCE E LA PLURALITÀ DEI SOGGETTI DEL SISTEMA DEI
CONTROLLI INTERNI: L’ORGANISMO DI VIGILANZA (D.LGS 231/2001) E LA FUNZIONE ANTIRICICLAGGIO
.................................................................................................................................. 47
SIMONE BARBIERI, FUNZIONE COMPLIANCE BARCLAYS BANK - I CONTROLLI DI COMPLIANCE A
DISTANZA..................................................................................................................... 49
ADALBERTO ALBERICI, PRESIDENTE COMITATO SCIENTIFICO COMPLIANCE ABI, ORDINARIO DI
ECONOMIA DEGLI INTERMEDIARI FINANZIARI UNIVERSITÀ DI MILANO - RIFLESSIONI SULLE
INTERRELAZIONI TRA HR E COMPLIANCE ............................................................................ 51
Resoconto-Compliance-in-Banks-2010 III
Informazioni preliminari
Cos’è ComplianceNet?
ComplianceNet http://www.compliancenet.it/ è un sito no profit che si occupa della
divulgazione delle tematiche legate alla compliance, al sistema dei controlli, alla
privacy.
Resoconto-Compliance-in-Banks-2010 IV
Cos’è la Compliance Community di ABIFormazione?
ABI Formazione, in concomitanza con il convegno “Compliance in Banks 2010”, ha attivato una
community online http://www.compliance-community.it/, con la finalità di agevolare le attività di
scambio e confronto tra tutti coloro che si occupano di conformità bancaria e finanziaria; l’accesso
a http://www.compliance-community.it/ è riservato a coloro che partecipano o hanno partecipato
alle attività ABI e ABIFormazione in tema di compliance; nella Community saranno
progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che siano ritenuti di
particolare interesse per la Funzione Compliance.
Una copia del presente documento è disponibile in http://www.compliance-community.it/.
Le slide degli interventi dei relatori ed altro materiale documentale ed audiovisivo relativo a
“Compliance in Banks 2010” sono disponibili in http://www.compliance-community.it/.
Resoconto-Compliance-in-Banks-2010 V
http://www.compliance-community.it/pages/la-community/
La Community
Il luogo di tutti coloro che hanno a cuore la compliance in banca.
La Compliance Community nasce con la finalità di agevolare le attività di scambio e confronto
tra tutti coloro che si occupano di conformità bancaria e finanziaria.
In particolare, è riservata a coloro che partecipano o hanno partecipato alle attività ABI e
ABIFormazione in tema di compliance: Convegno annuale, Percorso di formazione, Workshop e
seminari, servizio ABICS.
Nella Community saranno progressivamente pubblicati i documenti di ABI e di altre
fonti rilevanti che siano ritenuti di particolare interesse per la Funzione Compliance. Vi
saranno raccolti, inoltre, i materiali prodotti negli eventi, convegni e workshop in tema di
compliance.
Ma il cuore della comunità è rappresentato dalle attività degli utenti, ai quali affidiamo un
"luogo" dove possono "incontrarsi" per proporre temi, partecipare a discussioni, commentare le
proposte altrui, rendere disponibili documenti.
Tutto questo on line.
Prevediamo, inoltre, di facilitare l'organizzazione di un calendario di incontri in
presenza, finalizzati ad un confronto strutturato, eventualmente agevolato da esperti, sulle
tematiche che i partecipanti alla Compliance Community avrannno indicato.
Se sei un utente ABICS o hai partecipato ad un evento ABI e ABIFormazione sulla compliance,
dovresti aver ricevuto un invito via e-mail a registrarti alla community. In ogni caso, puoi fare
richiesta di registrazione con l'apposito modulo on line.
Il modulo di registrazione appare cliccando su ogni contenuto riservato agli utenti loggati.
Resoconto-Compliance-in-Banks-2010 VI
Prefazione
Quando il gioco si fa duro
È con grande piacere che scrivo questa breve introduzione al “Resoconto” del convegno
“Compliance in Banks 2010” che si è tenuto a Roma l’11 e 12 novembre 2010 organizzato da
ABI, ABIFormazione e ABIEventi.
Vorrei in primis a ringraziare gli organizzatori dell’evento ed in particolare Aida Maisano e Marco
Pigliacampo che mi hanno invitata al convegno e che ci hanno aiutati a redigere il resoconto.
Un ringraziamento sentito a tutti i relatori del convegno per i loro interventi tutti interessanti e
stimolanti; grazie infine a tutti i partecipanti.
Passando ai temi ed alle suggestioni delle due giornate (un bellissimo alternarsi di pioggia e sole nel
cuore di Roma sempre magica) basta sfogliare l’indice di questo volumetto per rendersi conto di
quanto la Compliance sia ormai al centro della governance bancaria e che, passato ormai la fase di
start-up della nuova funzione di conformità, l’attenzione del legislatore, della vigilanza, del vertice
aziendale e della clientela sia ormai puntata costantemente sul Compliance Officer che mi pare
assuma sempre più la fisionomia di un “Caronte” aziendale che deve traghettare la barca (la banca
…) tra due rive (regole e business) tra cui scorrono acque sempre impetuose ed agitate.
Al di là delle rievocazioni mitologiche quel che è emerso dalla 2 giorni di “Compliance in Banks
2010” è che, a mio avviso, per la nostra funzione è ormai finito il periodo delle riflessioni
metodologiche (direi quasi filosofiche …) ed è giunto il momento di dimostrare in nostro valore nel
gioco di squadra delle organizzazioni in cui operiamo.
Ho sentito molti lamentarsi della iper legislazione normativa, delle incongruenze tra le norme, delle
invasioni di campo tra authority: ebbene dobbiamo metterci testa che le cose non cambieranno ed
anzi il gioco si farà sempre più duro.
Proprio oggi, 17 novembre 2010, mentre scrivo queste brevi note Banca d’Italia ha dichiarato in
audizione alla Camera dei Deputati che “i prossimi anni vedranno una produzione normativa
intensa (…) in quanto è probabile che si aprirà una nuova fase di innovazione finanziaria, con
nuovi prodotti e intermediari creati per minimizzare l’onere delle nuove norme e trasferire attività di
intermediazione in aree non regolamentate o soggette a una vigilanza meno stringente. Sarà anche
importante assicurare che le nuove regole siano effettivamente attuate in modo rigoroso in tutte
le giurisdizioni, per evitare nuovi fenomeni di arbitraggio regolamentare”2.
Dunque il gioco si fa duro e anche noi dobbiamo giocare duro.
Per tali motivi momenti di confronto come “Compliance in Banks” sono fondamentali perché
arricchiscono la nostra professionalità e dunque rendono più saldo il nostro ruolo in azienda.
Per tali motivi, ancora, iniziative come la Compliance Community http://www.compliance-
community.it/ di ABIFormazione sono non solo necessarie ma indispensabili.
Per tali motivi, infine, la diffusione in azienda della cultura delle regole assume valenza strategica e
su questo penso che anche noi di http://www.compliancenet.it/ nel nostro piccolo abbiamo e stiamo
giocando un ruolo importante.
Chiudo anticipando una nuova iniziativa di http://www.compliancenet.it/.
Il primo dicembre 2010 sarà online il primo numero di “Compliance normativa”
http://www.compliance-normativa.it/ una rivista online (al momento aperiodica) che nasce con
2
Andrea Enria, Capo del Servizio Normativa e politiche di vigilanza di Banca d’Italia, “Lo stato del sistema bancario
italiano e le prospettive per l’attività normativa”, audizione alla la Camera dei Deputati, 17 novembre 2010, disponibile
in http://www.bancaditalia.it/interventi/altri_int/2010/Enria-171110.pdf e http://www.compliancenet.it/documenti/enria-
171110.epub
Resoconto-Compliance-in-Banks-2010 1
l’obiettivo di approfondire i temi della conformità e delle regole in azienda. Chiedo a tutti di
seguirci, con pazienza ed attenzione, anche in questa nuova avventura. Noi da parte nostra
garantiamo l’impegno e la passione che mettiamo in tutte le nostre attività di divulgazione sul tema
della Compliance.
Grazie a tutti.
Cristina Cellucci
Resoconto-Compliance-in-Banks-2010 2
Prima sessione - La compliance dopo la
crisi: ripristinare la fiducia sui mercati
finanziari
11 novembre 2010, ore: 09.30 – 13.00
Interventi:
Resoconto-Compliance-in-Banks-2010 3
Giovanni Sabatini – Introduzione ai lavori
L’intervento del dottor Sabatini, Direttore Generale dell’Associazione Bancaria Italiana, è stato
preceduto da un breve video introduttivo (disponibile liberamente nella Compliance Community di
ABIFormazione in http://www.compliance-community.it/public/videos/000/0007.flv) che ha
sintetizzato i “termini” fondamentali della disciplina della compliance: conformità, complessità,
legalità, reputazione, fiducia. A volte non si seguono le regole ma, alla fine, questo non è un
vantaggio. La compliance “conviene” perché permettere di accrescere la fiducia del cliente.
1) Fase nascente: nella quale è stato posto sul tavolo il tema (nuovo) della necessità di
immaginare, progettare e realizzare una nuova funzione organizzativa dedicata alla
conformità contestualmente ad una trasformazione radicale del quadro normativo che
assumeva, e sempre più ha assunto nel tempo, caratteri di estrema complessità e
interconnessione.
2) Fase implementativa: nella quale i presidi di verifica di conformità sono stati messi in
opera parallelamente all’emanazione della normativa di secondo livello (Banca d’Italia e
Consob 2007, ISVAP nel 2008); si è trattato, ha osservato Sabatini, della fase più
complicata ed onerosa per gli intermediari anche perché mancavano modelli di riferimento e
best practice significativi ed adatti al modello italiano; proprio per tale motivo il lavoro di
ABI, spesso in anticipo rispetto alle deliberazioni delle autorità preposte, è stato prezioso e
di valore; è la fase in cui la formazione della futura “classe dirigente” della compliance
grazie ad ABIFormazione si è rivelato preziosa con oltre 500 colleghi formati dal 2006 ad
Resoconto-Compliance-in-Banks-2010 4
oggi. È stata la fase di partenza di ABICS, il sistema informativo a supporto della funzione
di Compliance, con il quale ABI ha realizzato uno standard di sistema de facto grazie alla
larghissima adesione ricevuta dagli intermediari.
3) Fase di sistematizzazione: è la fase attuale in cui i modelli e metodi si sono consolidati e
servono altresì strumenti per gestire in modo sistematico le attività di conformità in banca:
l’enfasi in questo momento è su come instaurare una collaborazione fattiva tra la funzione di
Compliance e le altre funzioni aziendali, su come sfruttare i sistemi di automazione IT, sul
modo migliore di comunicare il senso vero della “missione compliance” a tutta la banca, su
come realmente si può proteggere da un lato la reputazione della banca e dall’altro
guadagnare una maggiore fiducia da parte del cliente. Oggi anche l’offerta di ABI si è
conseguentemente raffinata e specializzata: ABICS (come si vedrà nel seguito del
convegno) è diventato un sistema altamente personalizzabile e gestibile in house; la
formazione sulla compliance è diventato un vero e proprio percorso di certificazione non
solo delle capacità ma anche delle abilità (anche su questo tema è previsto un
approfondimento nel corso del convegno); la neonata comunità virtuale sulla compliance
non è un semplice allinearsi ai progressi tecnologici più innovativi (peraltro necessario) ma
anche il tentativo, sfruttando il web partecipativo 2.0, di realizzare economia di scala e
scopo grazie alla condivisione delle conoscenze.
Resoconto-Compliance-in-Banks-2010 5
Kristin Arnar Stefansson, Head of Compliance,
Islandsbanki - Le lezioni per la funzione compliance giunte
dalla crisi finanziaria
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/95/ - solo utenti registrati)
L’intervento di Stefansson (che ha premesso essere una sua personale visione dei fatti accaduti e
non una presa di pozione ufficiale della banca IslandsBank http://www.islandsbanki.is/english/ per
cui lavora) ha ripercorso i drammatici eventi della crisi finanziaria in Islanda nel 2008.
In sintesi a seguito del crollo di Lehman Brothers, le tre principali banche nazionali, fortemente
esposte verso l’estero, furono nazionalizzate e poste sotto il controllo della FSA la Financial
Supervisory Authority http://en.wikipedia.org/wiki/Financial_Supervisory_Authority_(Iceland)
islandese.
La crisi finanziaria internazionale, ha osservato Stefansson, ha avuto effetti particolarmente
devastanti in Islanda
http://en.wikipedia.org/wiki/2008%E2%80%932010_Icelandic_financial_crisis perché le autorità di
vigilanza ed i sistemi di controllo interni degli intermediari erano troppo deboli pur in presenza di
un mercato finanziario assai complesso e che cresceva impetuosamente.
Il management bancario, inoltre considerava la compliance come un “necessary evil” (male
necessario) cioè un semplice costo senza nessun rapporto con il business.
I motivi della virulenza della crisi in Islanda, che ha quasi portato l’intero paese alla bancarotta,
sono ben spiegati in uno studio di Kaarlo Jännäri, Report on Banking Regulation and Supervision in
Iceland: past, present and future, 30 marzo 2009
http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf e si devono in sintesi nella
(sfortunata) combinazione di più fattori:
• banche impreparate (bad banking);
• politiche insufficienti (bad policies);
• sfortuna (bad luck).
Ciò premesso Stefansson si è poi chiesto se fosse opportuno o meno che le “lezioni apprese” fossero
tradotte in norme o se questo rischiasse di causare una regolamentazione eccessiva.
Resoconto-Compliance-in-Banks-2010 6
Stefansson ha poi analizzato come la direttiva MiFID fosse stata implementata in Islanda
illustrandone anche i punti di debolezza e concludendo con una rapida analisi dello status della
Compliance nelle banche islandesi anche a seguito degli insegnamenti della recente crisi.
In sintesi le banche hanno rivalutato il ruolo delle funzioni di compliance, risk e internal audit
migliorandone i processi, l’indipendenza e l’interoperabilità.
Resoconto-Compliance-in-Banks-2010 7
Luigi Spada, Responsabile Ufficio Vigilanza e Albo
Intermediari e Agenti di cambio CONSOB – Le attese di
Consob circa la compliance sui servizi di investimento
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/94/ - solo utenti registrati)
Il dottor Spada ha esordito dicendo che il suo intervento sarebbe stato dedicato a come la
Compliance crea valore per l’impresa. Guai a considerare la funzione di Compliance solo come “un
costo che cammina”: al contrario si tratta di una componente fondamentale del governo d’impresa
perché gestendo il rischio reputazionale e legale contribuisce a far crescere l’impresa. Questi
concetti, ha osservato Spada, sono ormai condivisi tra i Compliance Officer e tra coloro che a vario
titolo fanno parte del più ampio Sistema dei Controlli; meno coscienza di ciò si ha, purtroppo, nei
vertici apicali e nei componenti dei Consigli di Amministrazione. Spada ha quindi rivolto un invito
ad ABI a coinvolgere in iniziative di compliance anche l’alta direzione delle banche socie.
1. business è responsabilità;
2. business e Compliance: due facce della stessa medaglia;
3. la Compliance nei servizi di investimento: alcune scelte di campo.
Business è responsabilità
Il mercato finanziario, ha detto Spada, è come un fragile ingranaggio che permette di creare valore
attraverso la “trasmissione” tra i diversi settori ed attori di mercato.
Dobbiamo però distinguere tra l’intermediazione bancaria che attraverso l’esercizio del credito fa
raccolta e trasformazione del risparmio ed i servizi di investimento (molto più complessi e delicati)
che fanno incontrare la disponibilità del cliente con i prodotti finanziari disponibili: in quest’ultimo
caso si tratta di una diretta relazione tra investitore e servizio di investimento (o prodotto) basato
su un mandato, termine che per sua natura rimanda non ad una semplice vendita ma ad un
rapporto di fiducia tra le parti che richiede di agire secondo l’interesse del cliente.
I servizi di investimento dunque sono una sorta di filtro che, prendendo il cliente per mano, lo
guida tra le possibili alternative fino ad accompagnarlo alla scelta più corretta per il suo profilo di
rischio.
Senza questo filtro, che è la vera consulenza che si offre la cliente, non c’è motivo di richiedere una
contropartita economica: “no filtro, no money” ha ben sintetizzato Spada ricordando che proprio
questo meccanismo spiega la retrocessione (a volte significativa) di commissione al distributore del
servizio finanziario (questo non tenendo conto di eventuali aspetti patologici o di vera e proprie
prepotenze quando il distributore è la capogruppo …).
Resoconto-Compliance-in-Banks-2010 8
Business e Compliance: due facce della stessa medaglia
Il mondo dei servizi di investimento si basa, come detto, sul rapporto di fiducia tra le parti il che
richiede di agire secondo l’interesse del cliente. Business e compliance sono dunque due angoli
visuali dello stesso mondo; ciò richiede all’intermediario di:
Attenzione alle letture “riduzioniste” ha sottolineato Spada che spesso rischiano di trasformarsi in
letture “negazioniste”: chi cerca di dimostrare di fare solo execution only per sfuggire al
responsabilità e agli adempimenti in realtà mina il suo ruolo nel mercato “poca responsabilità
significa poco business” ha ben sintetizzato Spada.
• budget fondati su esigenze dell’intermediario (ad es., esigenze di liquidità della banca) e non
sui bisogni della clientela;
• non valorizzazione del data-base sul profilo-clienti per adeguatezza;
• campagne prodotto;
• incentivi al personale su criteri quantitativi di prodotto;
• pricing dei propri servizi: consulenza “gratuita” e retrocessione di commissioni.
Ad esempio è necessario allineare gli interessi ed evitare il conflitto di interessi: pricing, budget e
politiche incentivanti basati su volumi e prodotti possono predisporre alla violazione delle regole
di condotta.
Al contrario un migliore allineamento agli interessi del cliente porta a minori conflitti e a minori
rischi di condotte non conformi, dunque a una stabilizzazione dei proventi.
A riguardo, e a coclusione del suo intervento, Spada ha citato Peter F. Drucker
http://it.wikipedia.org/wiki/Peter_Drucker : “La qualità in un prodotto o servizio non è ciò che il
fornitore vi mette. È ciò che il cliente ne ricava e per cui è disposto a pagare. Un prodotto non è di
qualità perché è difficile da fare e costa molti soldi, come i produttori tipicamente credono. Questa è
incompetenza. I clienti pagano solo per ciò che è utile per loro e dà loro valore. Nient'altro
costituisce la qualità”.
Resoconto-Compliance-in-Banks-2010 9
Rubens Sanna, Presidente Commissione Compliance AIBE
– Associazione Banche Estere in Italia, Compliance Officer
BNP PARIBAS - Le specificità di compliance delle banche
estere in Italia
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/89/ - solo utenti registrati)
“Le banche estere in Italia sono una realtà composita e variegata” ha esordito il dottor Sanna, di
AIBE http://www.banchestere.it/.
Nella definizione di banche estere si possono ricomprendere, infatti, varie categorie di attori molto
attivi nel mercato italiano:
Resoconto-Compliance-in-Banks-2010 10
controlli interni è definito dal regolatore del paese d’origine e vi è una limitata potestà ispettiva
locale.
Viceversa ha fatto notare Sanna l’Host Country control rimane un caposaldo per:
In questi casi (ed altri) le succursali di banche comunitarie sono parificate a quelle italiane senza
alcuna distinzione.
Ciò significa che la funzione di Compliance anche nelle banche estere è una funzione strategica che
opera in un contesto di ulteriore complessità legata al Boundary-less Business Model cioè ad un
modello di business senza confini geografici o normativi e dunque legato alla
internazionalizzazione delle attività da verificare.
Ad un più alto livello di ciascuna delle dimensioni sopraelencate si associa una funzione di
compliance locale più strutturata, dimensionata ed autonoma.
La funzione di Compliance nelle succursali di banche estere generalmente agisce su due piani:
La particolarità è che si hanno come riferimento relazioni, processi, business, attività che possono
essere svolti solo in parte in Italia.
In conclusione del suo intervento Sanna ha parlato delle sfide per la funzione Compliance delle
banche estere; sfide che nascono dall’ampliamento dell’offerta di prodotti e servizi offerti, dalla
ridefinizione dei target di clientela, dal contesto normativo e regolamentare principle-based e
continuamente in evoluzione.
Per affrontare queste sfide è fondamentale il maggiore coinvolgimento ed utilizzo delle strutture
associative.
Resoconto-Compliance-in-Banks-2010 11
Aida Maisano, Direttore, ABIFormazione - La
certificazione ABI delle conoscenze e abilità di gestione
della compliance
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/88/ - solo utenti registrati)
La dottoressa Maisano ha presentato con passione il nuovo progetto di certificazione ABI delle
competenze professionali di gestione della compliance bancaria attraverso il quale si attesta e
riconosce il possesso delle conoscenze, delle abilità e delle competenze di coloro che in banca
operano nella funzione o nel processo di compliance.
Il progetto ha preso avvio dal successo ottenuto con il percorso professionalizzante per la
compliance in banca e dall’esperienza nei progetti internazionali di certificazione sviluppati da
ABIFormazione all’interno di EBTN Asbl, http://www.ebtn.eu associazione no profit degli istituti
europei di formazione bancaria e finanziaria.
L’iniziativa si è focalizzata sulla mappa delle conoscenze, abilità e competenze, sia
metodologiche sia di ruolo, relative alla gestione della compliance bancaria, così come definita con
la collaborazione di un gruppo di esperti bancari e validata a livello europeo nel progetto
CERTIFIED (CERTIfication & Accreditation System for FInancial Services Sector EDucation and
Training http://www.certifiedebtn.eu/), sostenuto e finanziato dalla Commissione UE.
Maisano ha poi ricordato la provenienza degli “studenti” della prima sessione di certificazione ABI
in Compliance Management del 16 giugno 2010:
• 21% legale/normativa
• 34% responsabili compliance
• 4% rischi
• 41% addetti compliance
Resoconto-Compliance-in-Banks-2010 12
Seconda sessione - Le metodologie:
valutare il compliance risk
11 novembre 2010, ore: 14.00 – 16.15
Interventi:
• Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI,
Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP
• Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa
Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo
• Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk
Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di
Compliance
• Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture -
Compliance Risk Management: approccio alla valutazione del rischio di non conformità
• Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico
Meloni, Ufficio Coordinamento Compliance Federcasse - l’evoluzione del servizio ABICS
verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo
• Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - la misurazione del
Rischio di non conformità finalizzata all’ICAAP: l’esperienza di una piccola Banca.
Resoconto-Compliance-in-Banks-2010 13
Gianfranco Torriero, Direttore Centrale, Responsabile
Area Centro Studi e Ricerche ABI, Chairman della sessione
- Il contributo della Funzione Compliance al processo
ICAAP
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/98/ - solo utenti registrati)
Come è noto, Banca d’Italia colloca la funzione di Compliance (ed il Risk Management) tra i
controlli preventivi di 2° livello sulla gestione dei rischi assegnando ad essa compiti e responsabilità
ben specifici.
Sono però possibili, ha osservato Torriero, diverse implementazioni pratiche a fronte dei principi
guida indicati dalla vigilanza.
Una prima ipotesi realizzativa prevede di strutturare la Compliance come funzione organizzativa
ben specifica e distinta a connotato più legale e di controllo operativo; in questa ipotesi la funzione
di Compliance non sempre giunge o contribuisce ad una qualche valutazione/misurazione
dell’esposizione ai rischi legali e reputazionali. In questo caso è, prevalentemente, il Risk
management che presidia la misurazione dell’esposizione ai rischi legali, in quanto facenti parte dei
rischi operativi e sebbene in aumento sono per ora ancora poche le interrelazioni organizzative,
interscambi e collaborazioni con la funzione di Compliance.
Una seconda ipotesi prevede invece di far “convivere” Compliance e Risk Management all’interno
di un’unica struttura organizzativa di “Risk management/controlling” nella quale integrare le
Resoconto-Compliance-in-Banks-2010 14
attività svolte dalle due funzioni. Ma anche in tal caso, ha osservato Torriero, “vista la dimensione
mediamente più contenuta delle strutture, non sempre si realizza uno sviluppo dell’azione della
funzione di Compliance secondo tutti i classici step della gestione rischio”.
Una completa gestione del rischio comporta infatti:
1. identificazione;
2. valutazione/misurazione;
3. monitoraggio;
4. mitigazione.
ABI però, come riportato nel “Libro bianco sul Pillar 2” realizzato nel settembre 2008, ha
proposto anche un approccio più dettagliato rispetto al quale Torriero ha mostrato alcune matrici
che incrociano le fasi del processo (13) con gli attori coinvolti (9) indicando in ciascun incrocio se
l’apporto riguarda esecuzione, approvazione, etc.
Successivamente Torriero ha indicato quali sono le fasi del processo di Compliance (ispirandosi al
paper del Comitato di Basilea sulla compliance dell’aprile 2005, principio 7):
1. pianificazione
2. consulenza
3. linee guida
4. identificazione
5. valutazione
6. formazione
7. mitigazione monitoraggio
“Appaiono da subito evidenti le concordanze con alcune delle fasi dell’ICAAP” ha sottolineato
Torriero. È chiaro allora quale possa essere il contributo della Compliance nella gestione dei rischi
propri in ottica ICAAP.
Resoconto-Compliance-in-Banks-2010 15
“L’identificazione e la valutazione del rischio compliance sono tipiche attività di gestione del
rischio e quindi anche dell’ICAAP, che richiedono la collaborazione e il contributo di altre funzioni
aziendali, tra cui certamente almeno il Risk Management.
La mitigazione e il monitoraggio del rischio compliance, delle aree critiche in termini di
esposizione e di controllo nonché il monitoraggio degli interventi di mitigazione previsti sono
attività di supporto alla rendicontazione e al processo ICAAP: si pensi alla fase dell’autovalutazione
del sistema di governo dei rischi con cui la banca identifica le aree di miglioramento e presidia la
realizzazione degli interventi di evoluzione pianificati nei periodi precedenti da inserire nella
rendicontazione ICAAP annuale”.
Sono possibili diverse ipotesi di collaborazione tra il processo Compliance ed il processo ICAAP:
1. la Compliance interviene solo sui rischi che le sono propri (legale e reputazionale);
2. la Compliance interviene più in generale sul complessivo processo ICAAP (approccio in
parte invocato da alcune comunicazioni di Bankit);
3. la Compliance interviene su entrambi i fronti.
Una cosa però va chiarita subito ha detto Torriero: “per il rischio di compliance nell’ICAAP non
si deve prevedere altro capitale aggiuntivo poiché il rischio legale/da sanzioni regolamentari è già
inserito nei rischi operativi e il rischio reputazionale non genera necessità aggiuntive di capitale ma
solo di controllo dello stesso”.
In conclusione Torriero ha rimarcato che anche per l’ICAAP – sebbene processo interno (e quindi
con un certo numero di gradi di libertà insiti nella normativa per principi che lo caratterizza) – esiste
l’esigenza di essere conforme. Ecco quindi la possibilità (non la necessità ha sottolineato Torriero)
di un ruolo di sostegno della FC al complessivo processo ICAAP, sostegno che forse è più
significativo se interviene in fase di progettazione e messa a punto del processo stesso.
Alcune domande
Nella terza ed ultima parte del suo intervento Torriero ha posto una serie di quesiti per
l’elaborazione comune e futura.
Resoconto-Compliance-in-Banks-2010 16
Renata Tesio, Responsabile Ufficio Reporting, Direzione
Centrale Compliance Intesa Sanpaolo - Il modello di
compliance risk assessment nell’esperienza di Intesa
Sanpaolo
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/87/ - solo utenti registrati)
Il Chief Risk Officer (CRO) risponde al Consigliere Delegato e CEO e a sua volta è articolato in:
• Compliance
• Legale e Contenzioso
• RiskManagement
• Presidio Qualità del Credito
• Validazione Interna.
Passando agli ambiti normativi ci sono norme presidiate direttamente dalla Direzione Centrale
Compliance e norme presidiate da altre strutture alle quali sono attribuiti compiti di compliance.
• Servizi d’investimento
• Intermediazione assicurativa e previdenziale
• Market abuse
• Trasparenza delle condizioni contrattuali
• Sistemi di pagamento
• Responsabilità amministrativa degli Enti
• Antiriciclaggio.
Resoconto-Compliance-in-Banks-2010 17
Al secondo gruppo di norme appartengono (tra l’altro):
Passando al modello di governo sul gruppo, la Direzione Centrale Compliance svolge nei confronti
delle società del gruppo un ruolo di indirizzo e controllo, mirato a garantire un efficace ed efficiente
presidio dei rischi di non conformità a livello di Gruppo.
In particolare:
• mantiene la responsabilità della definizione delle linee guida e delle regole metodologiche in
materia di valutazione, presidio e controllo del rischio di non conformità a livello di Gruppo;
• garantisce inoltre l’informativa integrata a livello di Gruppo in merito all’adeguatezza del
presidio della conformità.
Modello di RiskAssessment
Nella seconda parte del suo intervento la dottoressa Tesio ha presentato in dettaglio il modello di
Risk Assessment utilizzato dalla Direzione Centrale Compliance di Intesa San Paolo.
Partendo dalle logiche va detto subito che la prioritizzazione delle aree intervento nei vari ambiti
normativi è definita sulla base della valutazione di:
• rischio di non conformità, nelle sue componenti “operativa”e “reputazionale”;
• presidi del rischio di non conformità posti in essere sia da parte delle unità di compliance,
sia da parte delle unità di business.
Tesio ha poi illustrato gli strumenti ed i dati utilizzati durante il Risk Assessment: ad esempio per le
“analisi delle perdite operative del Risk Management” si usa una “matrice associazione perdite
operative storiche / ambiti normativi” mentre la “valutazione manageriale per l’applicazione del
correttivo di scenario” si utilizza un “questionario di analisi di scenario”.
È importante notare che la valutazione delle perdite operative associate agli eventi rilevanti avviene
a partire dall’analisi puntuale degli eventi presenti nel database di Risk Management delle perdite
operative, al fine di:
1. escludere eventi non rilevanti ai fini di compliance;
2. attribuire le singole perdite agli ambiti normativi.
Resoconto-Compliance-in-Banks-2010 18
Inoltre al fine di incorporare le aspettative di mutamento del contesto di riferimento viene applicato
un correttivo di scenario alle perdite storiche, valutato dalle unità di riferimento per le attività di
compliance attraverso un “questionario guidato”per ambito normativo.
Per quanto riguarda in particolare la valutazione della componente “reputazionale” del rischio di
conformità si utilizza per ciascun ambito normativo un “questionario guidato” da parte delle unità di
riferimento per le attività di compliance (anch’essa declinata in ranking).
Ciò permette di valutare l’impatto su:
1. Segmenti di clientela interessati
2. Numero clienti
3. Volumi su specifico prodotto/ ramo interessato
4. Volumi su altri prodotti / rami
5. Brand
6. Manager della Banca
7. Altro personale della Banca
8. Sanzioni e perdita di credibilità verso l’Autorità di Vigilanza.
In conclusione del processo i dati sono rappresentati attraverso una matrice di sintesi che riporta
sull’asse delle ascisse i presidi e su quello delle ordinate il rischio “potenziale”; i valori rilevati si
riferiscono alle normative analizzate.
Questo approccio metodologico, ha spiegato la dottoressa Tesio, si è evoluto ed affinato nel corso
degli anni a cominciare dal 2008. Ovviamente ci sono state modifiche ed innovazioni.
Ad esempio per quel che riguarda l’associazione perdite/normativa si è passato da un approccio
prevalentemente parametrico a quello prevalentemente “puntuale” per consentire una miglior
valutazione delle perdite associate a ciascun ambito normativo; inoltre il modello è stato
“derelativizzato” con la sostituzione dei quartili con indici e indicizzazione a valori assoluti, ciò per
permettere la ponderazione perdite storiche / analisi di scenario, eccetera.
• l’elenco dei “temi da affrontare”con indicazione dei principali punti di attenzione, delle
azioni da attivare/decisioni da assumere, dei referenti e delle strutture responsabili;
• monitoraggio delle azioni in corso;
• evidenza dei progetti di Capital Budget 2011 - sotto la responsabilità della struttura del CRO
e di altre funzioni aziendali - rilevanti ai fini della mitigazione dei rischi più significativi.
Resoconto-Compliance-in-Banks-2010 19
1. dal punto di vista “interno” (Compliance): verificare l’organizzazione posta in essere per
onorare gli impegni presi;
2. dal punto di vista “esterno”: verificare la qualità della relazione posta in essere con gli
stakeholder.
A ciascun principio del codice etico è stato assegnato un punteggio sintetico di rilevanza ricavato da
un apposito algoritmo (da 0 a 3).
Sulla base del risultato del lavoro, anche in base ad elementi di opportunità e considerazioni interne,
si è successivamente definito la lista di priorità da verificare.
Resoconto-Compliance-in-Banks-2010 20
Fernando Metelli, Presidente AIFIRM – Associazione
Italiana Financial Industry Risk Manager - Interazioni
organizzative e funzionali tra le attività di Risk
Management e di Compliance
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/86/ - solo utenti registrati)
Resoconto-Compliance-in-Banks-2010 21
In conclusione del suo discorso Metelli ha parlato della misurazione qualitativa dei rischi. Il rischio
reputazionale è spesso misurato con approcci “qualitativi” o comunque “difficilmente
quantificabili” e dimensionato tramite assessment soggettivi.
La misurazione dei rischi se però non trova una quantificazione oggettiva e trasparente:
• non riesce ad inserirsi nei processi gestionali, condizionando il business;
• diventa un rischio nominale, sopportato solo perché esiste, non mitigabile.
Resoconto-Compliance-in-Banks-2010 22
Fabio Bocchini, Senior Manager della Service Line Risk &
Compliance Accenture - Compliance Risk Management:
approccio alla valutazione del rischio di non-conformità
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/85/ - solo utenti registrati)
1. Contesto di riferimento;
2. Approccio al Compliance Risk Assessment;
3. Considerazioni conclusive.
Contesto di riferimento
Nella prima parte del suo intervento Bocchini ha ricordato la tumultuosa evoluzione del quadro
normativo e regolatorio per gli intermediari bancari e finanziari sia a livello internazionale sia
nazionale. Si è affermato inoltre un nuovo approccio normativo basato più sulla definizione di
principi che di regole puntuali. Infine si registrano aree di sovrapposizione da gestire tra normative
differenti.
Tutto ciò comporta che spesso i percorsi di adeguamento normativi hanno impatti spesso invasivi su
organizzazione, processi e strumenti a supporto.
Bocchini ha poi riportato una serie di dati e statistiche sulle ispezioni e le sanzioni: ad esempio per
quel che riguarda la Banca d’Italia nei primi cinque mesi del 2010 sono già stati avviati 138
sopralluoghi ispettivi (67% di tutto il 2009) con specifici approfondimenti che hanno interessato la
liquidità, le strutture e i processi di controllo interno, i presidi organizzativi.
Il primo passo è identificare dunque i rischi potenziali attraverso una mappatura dei rischi per
normativa. In questa fase è opportuno appoggiarsi a provider esterni per il catalogo degli
adempimenti normativi e dei rischi collegati anche per avere garanzia dell’aggiornamento periodico
degli adempimenti per le normative in ambito.
Per quanto riguarda la misurazione del rischio potenziale, tale rischio è la somma di 2
componenti:
Resoconto-Compliance-in-Banks-2010 23
Per valutare l’efficacia dei presidi a mitigazione del rischio occorre “sommare” due componenti:
1. valutazione ex-ante;
2. valutazione ex-post.
La valutazione ex-post si basa sull’analisi delle evidenze dei controlli di II e III livello volti a
verificare l’effettiva applicazione delle norme interne e l’efficacia dei presidi/ controlli previsti nel
prevenire situazioni di non conformità.
La valutazione ex post viene fatta direttamente dalla funzione di Compliance sulla base delle
evidenze dei controlli svolti sia direttamente che indirettamente (evidenze da Internal Audit).
Sia la valutazione ex-ante che quella ex-post vanno fatte con riferimento ai singoli rischi identificati
sugli ambiti normativi considerati (approccio bottom up).
Il risultato finale è una matrice del rischio potenziale che riporta la copertura presidi/controlli per
valutazione del rischio residuo.
Le normative che evidenziano, nella matrice, un posizionamento con alto rischio potenziale e
valutazione bassa su presidi/controlli sono quelle su cui la banca deve intervenire in modo
prioritario.
Considerazioni conclusive
Esistono nella pratica operativa diverse modalità per approcciare al Compliance Risk Assessment.
Al di là del modello prescelto, secondo Bocchini, elemento fondamentale è riuscire a coinvolgere
nel processo le diverse funzioni aziendali che possono contribuire ad una migliore valutazione del
cd. “rischio residuo”:
• Risk Management (condivisione approccio metodologico e analisi dati di perdita per
valutazione componente operativa del rischio)
• Referenti Business (valutazione possibili ricadute commerciali connesse a eventi di non
conformità)
• Process/ Control Owner (o anche Operational Risk Manager distribuiti sul territorio) per
autovalutazione presidi di primo livello
• Internal Audit per acquisizione elementi rilevanti da controlli indipendenti di terzo livello
• Altre funzioni aziendali per inclusione eventuali ulteriori elementi di valutazione (es.
reclami clientela, cause legali, evidenze Autoritàdi Vigilanza, ecc).
Importante, infine, la piena integrazione del Compliance Risk Assessment nel processo di gestione
del rischio di conformità:
• evidenze del Compliance Risk Assessment devono costituire l’input principale per
l’approntamento del Compliance Plan annuale;
• no ad esercizio una tantum ma monitoraggio periodico del rischio residuo sulla base delle
evidenze dell’attività di Assurance svolta direttamente dalla funzione Compliance e/o in
collaborazione con l’Internal Audit.
Resoconto-Compliance-in-Banks-2010 24
Marco Pigliacampo, Referente Area Analisi e Gestione
ABIFormazione e Federico Meloni, Ufficio Coordinamento
Compliance Federcasse - L’evoluzione del servizio ABICS
verso la gestione aziendale della compliance: l’esperienza di
ABICS-Credito Cooperativo
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/84/ - solo utenti registrati)
Il sistema, inoltre, consente la personalizzazione del layout grafico, ad esempio con l’aggiunta del
logo aziendale, ed è predisposto per consentire progetti di interoperabilità con le piattaforme
GRC (Governance, Risk & Compliance) eventualmente presenti in banca. In particolare, le banche
dotate del sistema In House possono trasferire i contenuti del servizio verso i sistemi IT aderenti al
progetto “Inter-operabilità ABICS 2.0”.
Meloni ha spiegato i motivi che hanno portato alla scelta di ABICS 2.0.
Federcasse, nel corso del 2008, era interessata a far sì che il sistema del Credito Cooperativo
italiano, di cui promuove gli interessi di categoria, potesse avvalersi di un valido strumento per la
gestione dei c.d. “rischi di conformità”. Dopo una valutazione delle possibili alternative presenti sul
mercato Federcasse ha scelto ABICS optando per la realizzazione di una versione personalizzata
denominata “ABICS CC” (ABI Compliance System Credito Cooperativo).
Resoconto-Compliance-in-Banks-2010 25
ABICS CC è, quindi, oggi l’applicativo della Compliance del Credito Cooperativo personalizzato
per tener conto delle peculiarità delle Banche di Credito Cooperativo.
La funzione Consultazione Processi consente all’utente di navigare all’interno di una mappa che
rappresenta i processi bancari, ciò al fine di individuare le disposizioni normative che impattano sui
processi.
Selezionando un processo, si ottiene l’elenco delle disposizioni che lo impattano direttamente. Le
disposizioni sono ordinate per Argomento; per ognuna di esse è visibile: Argomento, Fonte
normativa, Riferimento della disposizione, abstract del testo della disposizione, eventuale icona con
la valutazione di rischio e con la possibilità di accedere alla relativa “Scheda Rischio”.
Per agevolare la consultazione delle disposizioni che impattano il processo selezionato, sono
disponibili tre filtri di ricerca relativi a: Sanzione prevista; Sanzioni con particolari rischi
reputazionali; Strumenti informativi per la clientela.
Navigando nell’ambito della funzionalità, inoltre, è possibile accedere ad altre informazioni quali:
Resoconto-Compliance-in-Banks-2010 26
• i riferimenti che riguardano l’Unità Organizzativa a cui è eventualmente affidata la
responsabilità del processo.
• Annotazioni: si intendono note associate al processo.
• Allegati: si intendono file (documenti, tabelle, schemi, etc.) associati al processo.
Resoconto-Compliance-in-Banks-2010 27
Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc
Carugate - La misurazione del rischio di non conformità
finalizzata all’Icaap: l’esperienza di una piccola Banca
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/99/ - solo utenti registrati)
Il dottor Pogliaghi ha fatto, nel suo intervento, un breve excursus sull’evoluzione della funzione di
Compliance dalle prime indicazioni giunte dall’organo di vigilanza alla fine degli anni 90 fino alle
recenti disposizioni di Banca d’Italia e Consob nel 2007 sottolineando, in particolare, gli aspetti di
interrelazione fra Compliance e funzione di Risk Management.
Secondo Pogliaghi è chiaro che, specie negli intermediari di piccole dimensioni, Compliance e Risk
Management possono convivere anche nella stessa struttura organizzativa purché ne sia chiarito il
mandato e garantita l’indipendenza.
Scrive infatti Banca d’Italia nella circolare. n° 688006 del 10/07/2007: “Le banche di dimensioni
contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento di
tale funzione alle strutture già esistenti incaricate della gestione dei rischi…oppure ancora a soggetti
terzi (esternalizzazione)”, …”purché dotati dei requisiti idonei in termini di professionalità ed
indipendenza”. “In ogni caso deve essere nominato un responsabile della funzione all’interno
dell’azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente”.
Ciò premesso qual è l’approccio per la migliore gestione del rischio di non conformità?
Sono possibili diversi approcci:
1. per normativa;
2. per processi bancari;
3. approccio per norme e processi bancari.
Molti intermediari privilegiano l’approccio per normativa che però, francamente, dice Pogliaghi
non offre un gran valore aggiunto né appare particolarmente innovativo.
Nell’approccio per normative gli attori coinvolti (al minimo) sono:
1. Process Owner
2. Compliance Officer
3. Responsabile Organizzazione
La finalità è garantire che la banca adotti procedure e prassi conformi alla normativa esterna prima:
• dell’entrata in vigore di una nuova normativa;
• dell’ingresso in un nuovo mercato (area geografica o segmento di prodotto).
In questo caso le metodologie che possono adottarsi sono: Analisi di impatto, Risk Self Assessment,
ecc. mentre gli strumenti possibili sono: ABICS, ecc.
Ma qual è in questo caso l’elemento di novità per le banche? Nessuno, sostiene Pogliaghi.
Nell’approccio per processi bancari gli attori coinvolti (al minimo) sono:
1. Compliance Officer
2. Risk Manager
3. Process Owner
Resoconto-Compliance-in-Banks-2010 28
La finalità è controllare / misurare l’esposizione al rischio di non conformità della banca sia alla
normativa esterna sia alla normativa interna.
Pogliaghi ha poi ricordato la circolare di Banca d’Italia n° 0228112/10 del 23 marzo 2010 che
recita: “7.Rischi più difficilmente quantificabili: se ritenuti rilevanti per l’operatività aziendale, gli
intermediari forniscono una descrizione della natura e delle cause sottostanti a questi rischi e una
illustrazione delle relative procedure organizzative di gestione e controllo. Di norma, ci si aspetta
che un’eventuale quantificazione di capitale interno sia basata sull’impiego di metodologie
robuste e documentate”.
In questo ambito, ad avviso di Pogliaghi, si colloca la misurazione del rischio di non conformità da
esplicitarsi all’interno del documento ICAAP.
Altra domanda fondamentale: come si misura la reputazione di una azienda? Purtroppo, ironizza
Pogliaghi, solo post mortem cioè solo a seguito della cessione dell’azienda quando il mercato valuta
il valore della stessa.
Pogliaghi ha poi mostrato una schema riassuntivo delle possibili sanzioni penali, civili ed
amministrativi che riguardano le banche.
Infine il dottor Pogliaghi ha descritto le attività della funzione di Compliance presso la BCC in cui
opera spiegando le modalità con cui vengono effettuale le verifiche.
La banca adotta un approccio “per processi bancari” alla misurazione del rischio di non conformità
che è inoltre finalizzato all’ICAAP.
Ad oggi per quanto concerne la misurazione del rischio di “non conformità” la BCC di Carugate ha
sottoposto a verifiche i seguenti processi:
• Finanza;
• Risparmio;
• Tesoreria – Enti Pubblici;
• Informativa verso l’esterno / contabilità e segnalazioni.
A conclusione del suo intervento anche Pogliaghi ha ricordato le parole di Anna Maria Tarantola,
vice direttore generale di Banca d’Italia in un suo intervento pubblico del 2007 (“La funzione di
compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie” in
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf): “la
compliance deve rappresentare la coscienza dell’impresa bancaria”.
Resoconto-Compliance-in-Banks-2010 29
Terza sessione - temi aperti:
Compliance & Legal
11 novembre 2010, ore: 16.30 – 18.30
Interventi:
• Enrico Granata, Direttore Centrale, Responsabile Area Normativa ABI, chairman della
sessione
• Graziella Capellini, Head of Compliance Italy Unicredit Group - La Compliance in
UniCredit: evoluzione e nuove sfide
• Alessandra Perrazzelli, Head of International and Antitrust Affairs Intesa Sanpaolo - Il
programma di compliance antitrust di Intesa Sanpaolo
• Leandro Polidori, Responsabile Compliance Banca MPS - Compliance, Legale e Controlli
Interni in Banca Monte dei Paschi di Siena
• Luca Bonzanini, Responsabile Affari Legali e Contenzioso UBI Banca - Rapporti tra
Legale e Compliance nel gruppo UBI
• Edoardo Pronello, Responsabile Funzione Compliance Banca del Piemonte - La
ripartizione tra Compliance e Legale delle attività di consulenza e di validazione dei
processi
Resoconto-Compliance-in-Banks-2010 30
Graziella Capellini, Head of Compliance Italy Unicredit
Group - La Compliance in UniCredit: evoluzione e nuove
sfide
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/93/ - solo utenti registrati)
L’evoluzione della funzione Compliance nel Gruppo UniCredit, ha spiegato Capellini, nasce dalla
tumultuosa espansione del Gruppo, in particolare all’estero, insieme a quella del contesto di
riferimento; ciò ha portato ad un allargamento del perimetro della funzione Compliance in
UniCredit sia di tipo geografico che di ruolo.
1) secondo una direttrice di espansione geografica che ha reso globale un istituto nato con
identità locale e nazionale;
2) in seguito all’ampliamento del perimetro delle attività che ha imposto alla funzione di
Compliance di passare da un semplice ruolo di advisory a fornitrice di soluzioni a tutto
campo (Compliance 360°).
Oggi, nel 2010, il gruppo conta circa 162.000 dipendenti con 9.500 filiali.
La funzione di Compliance Globale comprende circa 500 persone (full time equivalent).
La dottoressa Capellini ha poi spiegato le varie fasi che hanno accompagnato il passaggio da una
compliance locale (advisory) alla attuale Compliance Globale:
Resoconto-Compliance-in-Banks-2010 31
In particolare Capellini ha sottolineato come da un Compliance Risk Assessment (CAMP) di tipo
statico nel 2006 (cioè basato si tecniche di self assessment prettamente soggettive) si sia passati
all’odierno CAMP dinamico “alimentato nel continuo dai risultati dei controlli di 2° livello” (e
dunque più oggettivo).
In conclusione del suo intervento Capellini ha parlato delle nuove sfide della funzione Compliance,
sfide che ha così categorizzate e sintetizzate:
• Normative
o Maggiore regolamentazione e controllo da parte degli Organi di Vigilanza
o Convivenza di sistemi normativi non sempre allineati
• Business Model
o Internazionalizzazione dell’attività bancaria
o Distribuzione di una molteplicità di strumenti finanziari
• Sistema dei controlli
o Sistemi di governo e di controllo dell’attività aziendale
o Integrazione delle funzioni di controllo
• Clienti
o Trasparenza nei rapporti con i clienti
o Contenimento del costo e incremento della qualità dei servizi.
• Cultura Aziendale
o Policies (codice di comportamento)
o Partnership con il business
• Comunicazione
o Processi
o Presidi di controllo ma salvaguardia dell’efficienza e dell’economicità
• Risorse
o Interventi Quantitativi
o Interventi Qualitativi (Skill inventory, training interni, percorsi di carriera)
• Strutture
o Adeguamenti organizzativi.
“Abbiamo fatto tanto, ma il percorso non è concluso…” ha concluso la dottoressa Capellini “con
l’evoluzione del contesto di business, delle regole e delle normative siamo convinti infatti che la
funzione di Compliance sarà sempre più strategica all’interno dell’Organizzazione in quanto
prerequisito di sostenibilità”.
Resoconto-Compliance-in-Banks-2010 32
Alessandra Perrazzelli, Head of International and Antitrust
Affairs Intesa Sanpaolo - Il programma di compliance
antitrust di Intesa Sanpaolo
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/83/ - solo utenti registrati)
L’esigenza di tale programma nasce, inoltre,dalla con stazione che la conoscenza della normativa
antitrust è ancora troppo poco presente in banca; a riguardo la Perrazzelli ha ricordato il
Regolamento n. 139/2004 della Commissione delle Comunità Europee (qui in pdf) che norma tale
disciplina.
1) Antitrust rules
a. Prohibited agreements (art. 101 Treaty)
b. Abuse of dominant position (art. 102 Treaty)
c. Concentrations between undertakings (Merger Regulation 139/2004)
2) Compliance with competition rules
a. Why bother with competition rules (consequences of non compliance and positive
advantages of the antitrust programme)
b. To do’s and not to do’s (assessing the risk, typical examples of prohibited
agreements, recommendations)
3) Preventive measures and company procedure
a. Inspections (what to do during and after the inspections)
Resoconto-Compliance-in-Banks-2010 33
b. Privilege (rules of privilege)
c. Document retention (including electronic records).
Resoconto-Compliance-in-Banks-2010 34
Leandro Polidori, Responsabile Compliance Banca MPS -
Compliance, Legale e Controlli Interni in Banca Monte dei
Paschi di Siena
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/82/ - solo utenti registrati)
Il dottor Polidori è poi passato a descrivere lo SCI nel gruppo MPS sottolineando la rilevanza
assunta dal ruolo svolto dagli Organi di vertice che hanno, ciascuno per quanto di loro competenza,
ruoli di supervisione strategica , esecutivi e di controllo.
Le funzioni aziendali di controllo, ha sottolineato Polidori, dipendono gerarchicamente dal Direttore
Generale, ma, al fine di salvaguardare autonomia ed indipendenza, hanno una linea di reporting
diretta (nomina e flussi informativi periodici) con il Presidente, quindi il CdA, ed il Comitato per il
Controllo Interno.
• Internal Audit
• Legale e Societario
• Formazione
• Risk Management.
Resoconto-Compliance-in-Banks-2010 35
Evoluzione delle Funzioni di Compliance e Legale
Nella seconda parte del suo intervento Polidori ha tratteggiato l’evoluzione parallela delle funzioni
di Compliance e Legale in MPS distinguendo tra due periodi:
Nella prima fase prevalgono gli aspetti di presidio della normativa e l’analisi degli ambiti di
applicazione delle novità normative e regolamentari.
Nella seconda fase la funzione di Compliance si trasforma in una funzione autonoma e indipendente
con riporto diretto agli Organi Aziendali.
Di conseguenza viene sviluppato un apposito framework metodologico ai fine della valutazione
dello stato di conformità, valutazioni qualitative ma integrate con dati quantitativi derivanti
dall’identificazione di specifici Indicatori Rischio non Conformità (IRC).
Resoconto-Compliance-in-Banks-2010 36
Luca Bonzanini, Responsabile Affari Legali e Contenzioso
UBI Banca - Rapporti tra Legale e Compliance nel gruppo
UBI
Il dottor Bonzanini ha illustrato i rapporti tra funzione Legale e funzione Compliance parlando sia
di aspetti normativi e metodologici sia della traduzione “pratica” degli stessi nella realtà quotidiana.
Secondo Bonzanini, in sintesi, al di là dei principi esposti dalla autorità di vigilanza in materia di
conformità alle norme nella pratica in realtà, in banca, vige il consenso che “sull’interpretazione
della norma il Legale ha competenza piena ed esclusiva”.
Bonzanini ha poi relazionato sulla struttura organizzativa adottata nel gruppo UBI soffermandosi
sulle attività condotte dalla funzione “Affari Legali e Contenzioso” e sottolineando i punti di
interrelazione di questa con la funzione di Compliance. I contatti sono frequenti anche perché
Legale e Compliance ragionano entrambe in un’ottica ex ante.
Passando al quadro generale il dottor Bonzanini ha osservato che si percepisce a volte una “volontà
punitiva”nei confronti delle banche da parte delle autorità di settore e del legislatore nazionale; se in
certi casi ciò è stato giustificato da antiche e ormai obsolete modalità operative tuttavia occorre
ribadire che le banche si sono impegnate, negli ultimi anni, in un notevole sforzo per rendere i
propri servizi e prodotti più adatti alle esigenza della clientela anche con investimenti e costi non
indifferenti (si veda ad esempio il recente caso della portabilità dei mutui).
Purtroppo il rischio di non conformità è potenzialmente ovunque anche nella normativa fiscale!
Ciò causa tra l’altro anche sovrapposizione tra le funzioni aziendali a cui a volte si risponde (in
modo erroneo) concedendo totale autonomia alle funzioni di controllo.
Parlando della funzione di Compliance in UBI, Bonzanini ha indicato le aree di sua competenza tra
le quali:
• Usura
• Trasparenza
• Servizi di investimento
• Reclami
ed ha osservato come si tratti di discipline dove il rischio legale è sempre in agguato con effetti non
prevedibili.
Bonzanini ha poi commentato i recenti provvedimenti dell’Arbitro Bancario Finanziari (ABF
http://www.arbitrobancariofinanziario.it/) che troppo spesso, a suo avviso, si pronuncia a favore del
cliente. Bonzanini si è detto preoccupato da tale situazione tanto che le banche potrebbe arrivare a
preferire di non rispettare una decisione dell’ABF e ricorrere alla giustizia ordinaria.
Infine Bonzanini ha descritto 2 esperienze di positiva collaborazione in UBi fra Compliance e
Legale:
1) comitato prodotti;
2) sistemi incentivanti commerciali.
Resoconto-Compliance-in-Banks-2010 37
Edoardo Pronello, Responsabile Funzione Compliance
Banca del Piemonte - La ripartizione tra Compliance e
Legale delle attività di consulenza e di validazione dei
processi
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/79/ - solo utenti registrati)
1) contesto normativo;
2) la situazione in Banca del Piemonte.
Contesto normativo
Pronello ha fornito le definizione e illustrato le differenze tra rischio di compliance, legale e
operativo:
• rischio di compliance: rischio di incorrere in sanzioni giudiziarie o amministrative, perdite
finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative
(di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta,
codici di autodisciplina);
• rischio operativo: rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione
di procedure, risorse umane e sistemi interni, oppure da eventi esogeni; include il rischio
legale ma non quello strategico e reputazionale;
• rischio legale: rischio di subire perdite derivanti da violazioni di legge e regolamenti, da
responsabilità contrattuale o extra-contrattuale ovvero da altre.
Pronello ha poi svolto un’analisi comparata tra la funzione Legale e la funzione Compliance; a suo
avviso esse sono caratterizzate da due approcci profondamente diversi anche in relazione ad
adempimenti ipoteticamente similari o sovrapponibili. Infatti:
• la Funzione Legale risente delle scelte e dell’influenza delle unità di business, mentre la
Funzione Compliance è indipendente dalla aree di business e ciò è espressamente
richiesto/preteso dalla normativa;
• le due funzioni sono caratterizzate da una differente responsabilità nei confronti di “soggetti
esterni” segnatamente le Autorità di Vigilanza e la clientela.
Tali differenze giustificano una scelta organizzativa di separazione delle due funzioni.
Resoconto-Compliance-in-Banks-2010 38
• Consulenza Legale;
• Compliance;
• Controlli operativi.
Infine il dottor Pronello ha ricordato che le attività di validazione ex ante dei processi è riservata
alla Funzione di Compliance in quanto il termine “validazione” implica un’attività che le stesse
autorità di Vigilanza attribuiscono alla Funzione di Conformità.
Inoltre la Funzione Compliance in Banca del Piemonte viene coadiuvata nella validazione dei
processi dalla Funzione Legale o dalla Funzione Controlli Operativi in base all’area normativa
coinvolta nel processo esaminato.
Resoconto-Compliance-in-Banks-2010 39
Quarta sessione - temi aperti:
Compliance, HR & Audit
12 novembre 2010, ore: 09.15 – 11.30
Interventi
• Giancarlo Durante, Direttore Centrale, Responsabile Area Sindacale e del Lavoro ABI,
chairman della sessione - Le politiche retributive aziendali: il contributo della Compliance
• Claudia Pasquini, Responsabile Settore Analisi e Gestione dei Rischi ABI - Gli accordi di
servizio tra funzioni Internal Audit e Compliance
• Giuseppe Aquaro, Membro Comitato per il settore finanziario, AIIA http://www.aiiaweb.it/
– Associazione Italiana Internal Auditors, Responsabile Audit On Site, Unicredit Group - Il
coordinamento complessivo del Sistema dei Controlli Interni in banca
• Claudio Cola, Presidente AICOM – Associazione Italiana Compliance, Responsabile
Compliance Dexia - La Funzione Compliance e i diversi attori del sistema dei controlli:
l’Organismo di Vigilanza (d.lgs 231/2001) e la nuova funzione Antiriciclaggio
• Simone Barbieri, Funzione Compliance Barclays Bank - I controlli di compliance a
distanza
• Adalberto Alberici , Presidente Comitato Scientifico Compliance ABI, Ordinario di
Economia degli Intermediari Finanziari Università di Milano - Riflessioni sulle
interrelazioni tra HR e Compliance
Resoconto-Compliance-in-Banks-2010 40
Giancarlo Durante, Direttore Centrale, Responsabile Area
Sindacale e del Lavoro ABI, chairman della sessione - Le
politiche retributive aziendali: il contributo della
Compliance
Il dottor Durante di ABI ha iniziato i lavori della sessione facendo una rapida overview delle
politiche retributive e di incentivazione e dei conseguenti orientamenti dei regulator . Tali temi, ha
ricordato Durane, sono al centro del dibattito in banca già da anni e hanno ricevuto un forte impulso
nel 2008 dopo dissesto Leham Brothers http://it.wikipedia.org/wiki/Lehman_Brothers dovuto
anche a errate politiche di incentivazione del management.
La recente crisi finanziaria ha imposto la necessità di ulteriori riflessioni specie per quanto riguardo
il sistema incentivante delle posizioni apicali e del middle management in banca.
Sul tema il corpus normativo è ampio e in continua evoluzione. Al riguardo Durante ha ricordato
alcuni recenti pronunciamenti delle autorità di settore:
• CESR, The Committee of European Securities Regulators, Inducements: Good and poor
practices, 19 aprile 2010, qui in pdf http://www.cesr-eu.org/data/document/10_296.pdf .
• Banca d'Italia,"Sistemi di remunerazione e incentivazione", 28 ottobre 2010, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/gov_soc_ban/sist
emi_remunerazione.pdf (qui una sintesi http://www.compliancenet.it/content/banca-d-italia-
sistemi-di-remunerazione-e-incentivazione-comunicazione-n-032156009-28-10-2009)
• European Banking Federation, Remuneration policies after the crisis, 27 aprile 2010, qui in
pdf http://www.ebf-fbe.eu/uploads/27%20April%20Remuneration%20Policies.pdf
• Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel
settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF;
• Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25
settembre 2009 qui in pdf
http://www.financialstabilityboard.org/publications/r_090925b.pdf
Esiste concreto il rischio di doversi confrontare con un quadro normativo in continua evoluzione e
alimentato da fonti spesso non coordinate tra loro; secondo Durante al contrario sarebbe auspicabile
avere norme non frutto delle emergenze ma organiche, coerenti e complete; le politiche di
remunerazione dovrebbero, infatti, essere progettate sul lungo periodo e basarsi su un contesto di
legge stabile.
Tutto ciò è di ovvio interesse per la Compliance perché nelle banche deve esserci conformità anche
nel sistema incentivante specie per chi ha la responsabilità di business.
Durante ha poi analizzato il problema delle fonti normative per la compliance. Una volta le
banche si misuravano solo con fonti del diritto nazionali; oggi non solo devono tener conto del
contesto comunitario e internazionale ma anche di nuove fonti normative che pur non essendo
“fonti di diritto” tuttavia hanno una grande moral suasion e la cui sottovalutazione potrebbe portare
a perdita di reputazione e di fiducia da parte degli stakeholder.
Il Contratto Collettivo Nazionale del credito si era già posto il problema del sistema di
incentivazione nel 1994 cercando di introdurre elementi di “oggettività”; nel 1997 fu poi introdotto
un “protocollo” di intesa per le parti proprio su questo tema.
Resoconto-Compliance-in-Banks-2010 41
Oggi uno degli aspetti più delicati è trovare un equilibrio (e rispettare la conformità) rispetto al
nuovo quadro regolatorio ed in primo luogo rispetto alla MiFID.
Forse, ha osservato Durante, è ancora presto per arrivare a delle conclusioni; tuttavia ci sono trend
significativi di cui si deve tener conto:
1. la parte variabile della retribuzione deve essere legata ad obiettivi e risultati di lungo
periodo della banca e del gruppo;
2. ci deve essere un legame tra l’incentivo e la politica di assunzione di rischio della banca;
3. attenzione all’incidenza della retribuzione variabile a breve termine sul totale.
1) serve una chiara definizione del perimetro normativo della compliance ed individuazione
della validità delle fonti da cui scaturiscono gli obblighi;
2) va chiarito l’ambito delle possibili verifiche da parte della funzione di Compliance: il quadro
legale è ancora instabile e non è ancora chiaro cosa e come è lecito premiare; d’altra parte è
ovvio che una proposta normativa completamente “oggettiva” non possa essere possibile
perché la valutazione delle prestazioni è fondamentalmente legata ad una valutazione
soggettiva da parte della azienda;
3) non è chiaro come le regole debbano essere applicate ai cosiddetti risk taker cioè al Risk
Manager ed a coloro che fanno parte del Sistema dei Controlli.
In conclusione del suo intervento Durante ha sottolineato che in ogni caso vanno tenuti distinti i
ruoli delle Risorse Umane e quello della Compliance.
Infatti alle Risorse Umane va assegnato il compito di definire e valutare i criteri di attribuzione
dei premi mentre alla Compliance è riservato il compito di verifica la coerenza del sistema
premiante con il quadro normativo.
Resoconto-Compliance-in-Banks-2010 42
Claudia Pasquini, Responsabile Settore Analisi e Gestione
dei Rischi ABI - Gli accordi di servizio tra funzioni Internal
Audit e Compliance
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/92/ - solo utenti registrati)
La dottoressa Pasquini ha presentato i primi risultati di un Gruppo di Lavoro (GdL) ABI relativo a
metodologia e principi di riferimento per la stesura di Accordi di Servizio (AdS) tra Funzione
Compliance e Internal Auditing.
Per accordo di servizio si intende, ha spiegato Paquini, un testo che, sebbene ai soli fini interni,
impegna formalmente:
a) la funzione aziendale erogatrice del servizio nei confronti della funzione fruitrice;
b) entrambe le funzioni rispetto ai vertici dell’organizzazione.
Nell’ambito dell’Accordo possono essere inseriti precisi Services Level Agreement (SLA) ossia
metriche di servizio che devono essere rispettate dall’erogatore e che precisano il livello di servizio
atteso.
L’accordo può intercorrere tra funzioni non presenti nella medesima azienda ma anche tra funzioni
appartenenti ad aziende diverse.
Prima di enunciare i principi suggeriti la dottoressa Pasquini ha ricordato che essi sono da
considerare:
• non esaustivi;
• da interpretare ed adattare alle singole realtà aziendali;
• da declinare secondo il principio di proporzionalità.
Nel documento le “parti” sono definite come FC (Funzione Compliance) e IA (Internal Auditing);
tuttavia si possono applicare i principi esposti anche in AdS tra la FC e altre funzioni di controllo
della banca; ad esempio, si può fare riferimento ad uno specifico nucleo ispettivo sebbene non
appartenente all’Internal Auditing o all’Operational Risk Management.
Resoconto-Compliance-in-Banks-2010 43
4. stabilire chiaramente le responsabilità, i diritti e gli obblighi reciproci derivanti dall’accordo;
5. definire i flussi informativi bidirezionali e fissare i loro contenuti e la relativa periodicità;
6. pianificare le verifiche e la loro modalità di svolgimento;
7. specificare durata, validità e rinnovo dell’AdS.
Pasquini ha ricordato che i principi hanno mero carattere indicativo, non vogliono essere vincolanti
e non devono essere considerati “best practices” o modelli “pronti” per essere inseriti acriticamente
nel testo del proprio AdS.
La dottoressa Pasquini si è soffermata in particolare sul terzo principio relativo alla “descrizione
idonea dell’oggetto dell’accordo” per sottolineare l’importanza di approfondire e formalizzare
alcuni punti fondamentali:
In conclusione del suo intervento la dottoressa Pasquini ha ricordato che i lavori su questo GdL
sono ancora in corso e che l’elaborato finale è previsto per gennaio 2011 per cui eventuali
commenti e contributi sono graditi e possono essere inviati a compliance@abi.it .
Resoconto-Compliance-in-Banks-2010 44
Giuseppe Aquaro, Membro Comitato per il settore
finanziario, AIIA – Associazione Italiana Internal Auditors,
Responsabile Audit On Site, Unicredit Group - Il
coordinamento complessivo del Sistema dei Controlli
Interni in banca
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/78/ - solo utenti registrati)
Il dottor Aquaro ha esordito ricordando che controlli e governo societario sono aspetti solo
apparentemente distinti: in realtà si integrano e concorrono insieme al buon funzionamento di
un’impresa.
Il sistema dei controlli interni è parte integrante dei meccanismi di governo societario: una
buona percentuale di controlli sta nella governance e una buona governance vuol dire buoni
controlli.
Gli assetti organizzativi e di governo delle banche devono pertanto essere tali da realizzare gli
interessi dell’impresa e allo stesso tempo contribuire ad assicurare condizioni di sana e prudente
gestione.
L’Internal Governance delle banche è un elemento strategico per assicurare la sana e prudente
gestione: le disposizioni di vigilanza emanate dalla Banca d'Italia contengono, tra le altre, regole di
Internal Governance (si veda: la Banca d’Italia, Le nuove disposizioni di vigilanza in materia di
organizzazione e governo societario delle banche, 4 marzo 2008, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040308.pdf)
in cui particolare attenzione viene dedicata al sistema dei controlli interni. Efficaci controlli,
esercitati da funzioni di controllo autorevoli, attive e indipendenti sono presidi imprescindibili della
solidità della banca.
Aquaro ha poi illustrato i requisiti di Banca d’Italia relativi al Sistema dei controlli in banca
osservando come il mutato contesto finanziario abbia spinto ad un passaggio dagli strumenti tipici
della vigilanza strutturale a forme più evolute di controllo, proprie della risk based supervision.
Passando al ruolo della funzione di Internal Audit, Aquaro ha ricordato che si tratta di una
funzione indipendente istituita dal management di un’impresa quale parte integrante del Sistema
dei Controlli Interni.
L’Internal Audit:
• effettua una attività di “assurance” e “consulting” indipendente, oggettiva e finalizzata a
valutare, valorizzare e migliorare il Sistema dei Controlli Interni della Banca;
• aiuta la Banca a raggiungere i propri obiettivi di sana e prudente gestione secondo un
approccio sistematico e disciplinato al fine di valutare e migliorare l’adeguatezza
dell’operatività della banca.
Aquaro ha poi descritto l’organizzazione della funzione di Internal Audit in UniCredit: essa assicura
il coordinamento delle attività delle entità con un sistema manageriale di gestione basato sul
concetto delle “competence line”.
Resoconto-Compliance-in-Banks-2010 45
In particolare l’Internal Audit department in qualità di “competence line” opera trasversalmente
rispetto alle strutture societarie vigenti, nel rispetto delle responsabilità assegnate dalle leggi e
normative locali.
Da notare, ha sottolineato Aquaro, che in Unicredit il Group Audit adotta una struttura
organizzativa suddivisa per tipologia di rischio.
Aquaro è poi passato ad analizzare il rapporto tra Internal Audit e funzione di Compliance
ricordando, tuttavia, che l’Internal Audit sottopone a periodiche verifiche l’adeguatezza e l’efficacia
della funzione di Compliance.
Infine Aquaro ha approfondito l’aspetto dell’attività consulenziale della funzione di Internal Audit
ricordando in primo luogo che l’attività consulenziale effettuata non deve compromettere
l’indipendenza dell’Internal Audit.
In generale l’IA non prende parte:
• alla definizione di processi e procedure;
• all’identificazione dei relativi controlli;
• alla stesura di procedure e normative interne e di Gruppo.
Resoconto-Compliance-in-Banks-2010 46
Claudio Cola, Presidente AICOM – Associazione Italiana
Compliance, Responsabile Compliance Dexia - La
Funzione Compliance e la pluralità dei soggetti del Sistema
dei Controlli Interni: l’Organismo di vigilanza (D.lgs
231/2001) e la funzione antiriciclaggio
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/77/ - solo utenti registrati)
• Responsabile Sicurezza
• CdA con compiti di vigilanza
• Responsabile Internal Audit
• Sistema Controlli Interni TUF
• Sistema Controlli Interni Codice Preda
• Comitato Audit
• Organismo di Vigilanza 231/01
• Revisore contabile
• Dirigente preposto documenti contabili
• Responsabile Funzione di Compliance
• Responsabile/i Privacy
• Responsabile Risk
• Responsabile ICAAP
• Responsabile Antiriciclaggio (doc. Banca d’Italia in consultazione)
• Amministratori indipendenti operazioni parti correlate.
In realtà, ha osservato Cola, siamo di fronte ad una vera e propria “galassia” degli
organi/funzioni/responsabili dei controlli che nasce da interventi normativi, diffusi nel tempo e
riconducibili a fonti diverse sia comunitarie sia nazionali e spesso contingenti.
Questa “dispersione”, ha osservato Cola, rende critica la gestione dei controlli aziendali con
aumento dei rischi operativi e reputazionali.
Cola è poi passato ad una analisi “comparativa” tra le attività della funzione di Compliance e quelle
dell’Organismo di Vigilanza ai sensi del d.lgs. 231/2001.
Resoconto-Compliance-in-Banks-2010 47
• assicurarsi che il Modello Organizzativo sia coerente con le norme del D.lgs. 231/2001 e
con le linee guida delle associazioni di categoria;
• verificare che il Modello Organizzativo sia nel tempo aggiornato in relazione alle novità
normative e organizzative;
• vigilare affinché il Modello Organizzativo sia osservato.
Il Compliance risk (ossia il rischio di perdite, sanzioni o di ricadute reputazionali per il mancato
rispetto di norme di etero e di autoregolamentazione) ha un evidente rapporto di genere a specie
con il rischio di compimento di illeciti ricompresi nel D.lgs. 231/2001, ha sottolineato Cola.
Dunque tra le attività dell’Organismo di Vigilanza e le attività della funzione di Compliance
esistono evidenti rapporti e possibili sinergie.
In particolare:
• la Compliance può rappresentare uno dei principali supporti dell’Organismo di Vigilanza;
• il responsabile della Compliance può divenire uno dei componenti dell’Organismo di
Vigilanza.
L’intervento di Cola si è concluso con una serie di considerazioni nell’ambito del Sistema dei
Controlli:
• non si osserva alcun tentativo di razionalizzazione e di riconduzione a unità rispetto alla già
abbondante presenza di soggetti e figure di controllo;
• si manifesta con forza un problema di governance complessiva del sistema dei controlli
probabilmente da gestire all’interno del “progetto societario”;
• si pone evidente un problema non meno importante di commitment del vertice aziendale, di
responsabilità delle persone incaricate, di adeguatezza qualitativa e quantitativa delle risorse
da destinare alle funzioni di controllo.
Resoconto-Compliance-in-Banks-2010 48
Simone Barbieri, Funzione Compliance Barclays Bank - I
controlli di compliance a distanza
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/76/ - solo utenti registrati)
Il dottor Barbieri ha ricordato che l’evoluzione del ruolo della funzione di Compliance sviluppa in
maniera crescente il compito di controllo costante a presidio della conformità focalizzando sulla
necessità di un presidio completo delle materie regolamentari, mediante:
1. controlli di impianto (ex-ante)
2. controlli operativi / funzionali (ex-post) tra i quali i controlli a distanza.
Centrale per i controlli a distanza sono i sistemi IT; infatti l’efficacia dei controlli a distanza è
funzione, inter alia, della disponibilità di archivi informatici accentrati e di strumenti evoluti di
business intelligence o applicativi dedicati che consentano l’accesso autonomo da parte delle
funzioni di controllo e l’elaborazione di dati che siano:
• aggiornati
• completi
• dettagliati
• affidabili.
Barbieri ha poi illustrato come progettare i controlli a distanza di Compliance. A tal fine è
necessario:
• definire in maniera chiara lo scopo del controllo;
• verificare ed analizzare la disponibilità delle fonti informative;
• identificare le caratteristiche e la dimensione di analisi;
• identificare l’indicatore di rischio (Key Risk Indicator);
• stabilirne la frequenza di aggiornamento (giornaliero, settimanale, mensile, ..);
• identificare delle soglie di attenzione dei KRI che tengano in considerazione la probabilità e
l’impatto del rischio ed il risk appetite della Banca.
L’analisi e gli indicatori devono essere in grado di fornire contemporaneamente sia una
rappresentazione statica sia una rappresentazione andamentale del rischio.
Barbieri ha poi fornito una serie di esempi di controlli a distanza su tematiche di Compliance:
• proposizione dei prodotti bancari e assicurativi
Resoconto-Compliance-in-Banks-2010 49
• servizi di investimento - MIFID
• attività dei promotori finanziari
• Market Abuse
• Antiriciclaggio.
In conclusione del suo intervento Barbieri ha mostrato come i controlli a distanza possono
contribuire alla creazione di valore.
I controlli a distanza tuttavia non rappresentano una alternativa ai “tradizionali” controlli on-site,
ma contribuiscono a focalizzare, indirizzare, prioritizzare i controlli diretti nelle aree a maggior
componente di rischiosità, secondo un approccio risk based.
Le verifiche on-site restano pertanto indispensabili sia per integrare, in un’ottica di
complementarietà, le informazioni e le conoscenze non ottenibili da remoto, sia per fornire un
feedback sull'attendibilità delle indicazioni fornite dalle analisi effettuate a distanza, contribuendo
in questo modo al loro affinamento e miglioramento continuo.
Integrazione quindi non solo delle diverse tipologie di controlli ma anche integrazione funzionale
nel processo di controllo attraverso:
• la condivisione delle informazioni e delle risultanze delle attività di monitoraggio tra le
funzioni di controllo, sfruttandone le sinergie, con particolare riferimento alle attività di Risk
Management, Compliance ed Internal Audit (flussi informativi);
• il miglioramento dell’utilizzo delle risorse cercando di contenere la duplicazione dei
controlli attraverso una visione unitaria del processo di controllo e accordi di collaborazione
(SLA);
• la conseguente riduzione dei costi del controllo.
Resoconto-Compliance-in-Banks-2010 50
Adalberto Alberici, Presidente Comitato Scientifico
Compliance ABI, Ordinario di Economia degli
Intermediari Finanziari Università di Milano - Riflessioni
sulle interrelazioni tra HR e Compliance
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/75/ - solo utenti registrati)
Oggi fortunatamente la compliance viene percepita come “valore di fondo nella cultura aziendale”
così come richiedeva già il Comitato di Basilea nel 2005. Ciò significa che occorre rafforzare i
presidi volti a orientare la cultura aziendale, il rigoroso rispetto delle regole, la corretta gestione dei
conflitti di interesse, la conservazione del rapporto fiduciario con la clientela.
La compliance proattiva “conviene” anche nei rapporti con le authority perché va creata una cultura
aziendale “nuova, esclusiva, riconoscibile” così come diceva Annamaria Tarantola, vice Direttore
Generale di Banca d’Italia, ne “La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie”, 4 ottobre 2007, qui in pdf
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf p.12)
“Se la compliance non agirà in questo modo, potrebbero sorgere dubbi …. nelle stesse Autorità di
vigilanza, circa la capacità e la volontà degli amministratori di adempiere alle proprie responsabilità
in punto di sana e prudente gestione requisito essenziale per la proficua permanenza nel mercato.”
(Annamaria Tarantola, ibidem, p.16)
Ma, ha osservato Alberici, la compliance proattiva sta muovendo solo ora i primi passi perché la
cultura ha a che fare con le persone e modificare i comportamenti è più complesso che applicare
nuove regole.
D’altra parte ha sottolineato il professor Alberici, le banche italiane scontano ancor oggi un antico
vizio d’origine: le banche italiane infatti sono le uniche aziende che sono diventate imprese “per
legge” (art. 10 TUB).
Occorre allora agire attraverso “azioni formative e informative su tematiche di conformità, quali
strumenti di sviluppo di una cultura aziendale di compliance” (Annamaria Tarantola, ibidem, p.8).
Secondo Alberici occorre “chiarezza” di ruoli nel condurre la formazione. In particolare occorre
chiarire chi è effettivamente il responsabile della formazione per la cultura aziendale.
Secondo Alberici il responsabile deve essere la funzione di Compliance ed in particolare il
Compliance Officer mentre le Human Resources (HR) sono un semplice “organo tecnico esecutivo”
e non un “supplente”.
Purtroppo osserva Alberici i legami collaborativi fra Compliance e HR sono ancora scarsi rispetto a
quelli con le funzioni di controllo e commerciali e solo le “interdipendenze informali” limitano
talvolta i rischi conseguenti.
Resoconto-Compliance-in-Banks-2010 51
Le Funzioni di compliance, comunque, dispongono ormai di budget di spesa indipendenti (che la
Vigilanza valuta) da utilizzare in autonomia.
Ma come fare formazione realmente efficace?
L'attività di formazione deve configurare un “percorso di formazione orientato ai comportamenti”
che:
• deve originare dai principi dalla deontologia che, vertendo su valori alla base dell'
assunzione di responsabilità di tutti gli stakeholder, prescinde da qualsiasi dettaglio
regolamentare;
• si deve sviluppare sul Codice etico e su un qualificato corpus regolamentare interno per il
consolidamento di una cultura aziendale basata sui valori dell’impresa, sulla conoscenza
delle normative e dei rischi di non conformità, sulle conseguenze organizzative e sui costi
per l’impresa e per le persone di comportamenti non conformi.
La formazione dovrebbe essere obbligatoria, capillare, “continua”, documentata, efficace, quindi
certificata e verificata seguendo, ad esempio, le prassi e i metodi in uso per la Responsabilità
amministrativa dell’impresa (D.Lgs. 231/01)
Infine si ricordi che il percorso di formazione deve essere rivolto a tutto il personale della banca a
partire dagli amministratori, sindaci, top management fino ai neoassunti. Ovviamente sono
possibili percorsi differenziati:
• approccio di general management per executive (interfunzionalità, integrazione dell’attività
aziendale, problem solving, comunicazione, gestione di processi organizzativi e dei conflitti,
etc)
• approccio tipo specialist
• formazione verticale sui temi classici della conformità (MiFID, antiriciclaggio, trasparenza
bancaria, protezione dei dati personali, etc.)
• interventi per analisti di organizzazione
• interventi di “formazione per formatori”.
Sarebbe importantissimo inoltre progettare attività di vero e proprio knowledge management per
costruire, all'interno della banca, una “network informativo e di comunicazione” che possa
accelerare la costruzione di una sensibilità comune sui temi della compliance, facilitare la
condivisione delle informazioni e la capitalizzazione delle esperienze.
In conclusione occorre favorire l’eccellenza, magari con una certificazione indipendente, di
carattere metodologico e di risultato, del Compliance Officer, dei membri della funzione e dei
processi di Compliance a valle di percorsi formativi e privilegiare iniziative di sviluppo delle risorse
attivate per l’eccellenza delle l’attività di compliance (analisi di clima, forum, etc).
Resoconto-Compliance-in-Banks-2010 52
Quinta sessione - temi aperti: la
compliance sui servizi di investimento
12 novembre 2010, ore: 11.45 – 14.00
Interventi:
• Massimo Roccia, Responsabile Area Business ABI, chairman della sessione - Il ruolo della
Funzione Compliance nei servizi di investimento
• Carlo Appetiti, Head of Compliance Italy Deutsche Bank - Il Compliance Plan e il rapporto
con le altre funzioni della banca
• Alessandro Papaniaros, Responsabile Compliance Banco Popolare - Il regime dei conflitti
di interesse e degli inducement dal punto di vista della Funzione Compliance
• Giulio Giorgini, Senior Partner Bee Team - Metodologie ed esperienze a supporto
dell’attività di compliance nei servizi di investimento
• Massimiliano Passaro, Responsabile Compliance Bancoposta Poste Italiane - La gestione
del processo di compliance applicato ai servizi di investimento
• David Sabatini, Responsabile Settore Finanza ABI - L’evoluzione del ruolo della Funzione
Compliance nei servizi di investimento.
Resoconto-Compliance-in-Banks-2010 53
Massimo Roccia, Responsabile Area Business ABI,
chairman della sessione - Il ruolo della Funzione
Compliance nei servizi di investimento
(Slide disponibili nella Compliance Community di ABIFormazione: http://www.compliance-
community.it/documents/97/)
Il dottor Roccia ha trattato il tema della funzione di compliance alla luce della direttiva MiFID.
La Compliance, secondo la MiFID:
Ciò significa che occorre adottare una “Compliance Policy” per i Servizi d’Investimento che
garantisca:
• assenza di vincoli gerarchici tra il responsabile della funzione e i responsabili delle funzioni
sottoposte a controllo
• riporto diretto agli organi aziendali da parte del responsabile della funzione
• divieto ai soggetti rilevanti che contribuiscono allo svolgimento della funzione di
partecipare alla prestazione dei servizi oggetto del loro controllo
• metodo per la remunerazione degli addetti della funzione tale da non compromettere la loro
obiettività
• dotazione adeguata della funzione in termini di autorità, risorse (quantitative e qualitative
per competenze professionali) e strumenti operativi per lo svolgimento dei compiti.
Roccia ha poi indicato quali siano le macro-aree di controllo della Compliance e cioè:
Resoconto-Compliance-in-Banks-2010 54
Sono tuttavia emerse alcune criticità nell’applicazione della MiFID:
In conclusione del suo intervento il dottor Roccia ha ricordato le “Linee Guida” Interassociative
realizzate da ABI, ASSOSIM e FEDERCASSE.
Resoconto-Compliance-in-Banks-2010 55
Carlo Appetiti, Head of Compliance Italy Deutsche Bank -
Il Compliance Plan e il rapporto con le altre funzioni della
banca
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/74/ - solo utenti registrati)
1. la Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed organizzazione locale;
2. la pianificazione delle attività della Compliance.
Input del piano di attività sono fattori sia “interni” sia “esterni”:
• fattori interni
o CRAM: Deutsche Bank Group Compliance Risk Assessment Methodology
o AML Risk Assessment
o risultanze dei controlli svolti nell‘anno e delle attività di follow-up
• fattori esterni
o mappatura/conoscenza di attività/servizi/prodotti offerti
Resoconto-Compliance-in-Banks-2010 56
o pianificazione strategica di business almeno per l‘anno successivo
o presidio normativo
o interazioni con altre funzioni di controllo (ORM e Audit)
o richieste delle autorità
o interazione tra compliance e altre funzioni di controllo.
In questo processo è tuttavia essenziale tenere sotto controllo alcuni punti di attenzione:
• attenta pianificazione delle attività per le società del Gruppo (3 banche, 1 SIM, 1 SGR, 1
Fiduciaria, branch locale di Deutsche Bank AG)
• necessità di integrare il modello di Business “Divisionale” e le esigenze di efficienza della
Funzione
• interazione con Casa Madre sulle attività locali
• impatti del Reg. 17297/2010: la valutazione del piano strategico di Business
• compresenza di attività “ex ante” ed “ex post”.
In conclusione del suo intervento, Carlo Appetti ha commentato la “struttura” del piano di attività.
In esso per ciascuna attività sono indicate:
• la tipologia di attività (consulenza preventiva, monitoraggio ex post, formazione e altre
attività finalizzate alla diffusione di una cultura di conformità alle norme tra i dipendenti)
• l’area normativa di riferimento (trasparenza, gestione dei conflitti di interesse, attività di
intermediazione, mercati, attività antiriciclaggio, gestione dei rapporti con le Autorità di
Vigilanza, etc.)
• la frequenza di svolgimento, in caso di attività svolte in via continuativa o con periodicità
definita (soggetta a modifiche in corso d’anno)
• le funzioni/unità aziendali coinvolte
• i flussi informativi da altre funzioni/unità aziendali coinvolte alla U.O. Compliance.
A soli fini interni alla funzione, per ciascuna attività sono indicate le risorse assegnate, l’impegno
preventivato e l’output richiesto.
Resoconto-Compliance-in-Banks-2010 57
Alessandro Papaniaros, Responsabile Compliance Banco
Popolare - Il regime dei conflitti di interesse e degli
inducement dal punto di vista della funzione Compliance
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/73/ - solo utenti registrati)
Il dottor Papaniaros ha svolto un articolato ed esauriente intervento sul tema del conflitto di
interesse. Di seguito l’agenda dell’intervento.
• Conflitti di Interesse
o Identificazione dei conflitti
o Gestione dei conflitti
o Disclosure dei conflitti
o Registro dei conflitti
o Processo per la rilevazione e la gestione dei conflitti
• Inducement
o Classificazione dei compensi
o Test di ammissibilità
o Disclosure degli inducement
o Processo per la rilevazione e la gestione degli inducement.
Conflitti di Interesse
Papaniaros ha cominciato ricordando le principali novità introdotte dalla nuova normativa rispetto
alla precedente. In primo luogo le nuove norme attribuiscono un valore determinante alle procedure
e misure organizzative che l’intermediario è tenuto a porre in essere al fine di una corretta
individuazione e gestione dei conflitti di interesse nella prestazione dei servizi e attività di
investimenti ed accessori.
Inoltre ora la disclosure non è più da sola sufficiente ad adempiere agli obblighi imposti dalla
normativa e va prevista nei soli casi in cui le misure adottate dall’intermediario non siano ritenute
sufficienti a tutelare il cliente.
Infine la norma adesso impone l’obbligo all’intermediario di consegnare ai clienti la propria Policy
sui conflitti di interesse.
Nel Banco Popolare la valutazione dei conflitti prevede il coordinamento al livello del Gruppo, con
un ruolo centrale di control room e guida nelle valutazioni assegnato alla Compliance della
Capogruppo.
In particolare:
• la valutazione e gestione dei conflitti potenziali viene svolta dalle funzioni di Compliance (o
omologhe) degli intermediari interessati, con il coordinamento della Compliance della
Capogruppo;
• alla Compliance della Capogruppo è attribuita una funzione di control room delle situazioni
di conflitto, svolta avvalendosi del “concentratore” di Gruppo (base dati situazioni rilevanti);
Resoconto-Compliance-in-Banks-2010 58
• la Compliance della Capogruppo ha inoltre la responsabilità di tenere il registro dei
conflitti, che è unico al livello del Banco, e che prevede viste logiche specifiche per ogni
intermediario autorizzato.
Inducement
Nella seconda parte del suo intervento il dottor Papaniaros ha ricordato che funzione di Compliance
ha contribuito all’analisi ed alla classificazione delle convenzioni vigenti in capo alla banche del
Gruppo, sulla base della nuova normativa sugli inducements.
Sono stati così individuati accordi che prevedevano remunerazioni:
• ammissibili;
• non ammissibili;
• ammissibili in presenza di determinate condizioni (test di ammissibilità) volte ad assicurare
che i compensi fossero idonei ad:
o accrescere la qualità del servizio fornito al cliente;
o non ostacolare l’adempimento da parte dell’intermediario dell’obbligo di servire al
meglio gli interessi del cliente.
Resoconto-Compliance-in-Banks-2010 59
Giulio Giorgini, Senior Partner Bee Team - Metodologie ed
esperienze a supporto dell’attività di compliance nei servizi
di investimento
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/71/ - solo utenti registrati)
Giorgini ha poi illustrato alcuni esempi di controlli su processi e procedure ricordando che:
• rappresentano la tipologia di controlli su cui il sistema bancario si è principalmente
concentrato;
• il disegno puntuale dei controlli è specifico per ciascuna banca e dipende fortemente dai suoi
processi e procedure;
• tipicamente i controlli sono a distanza e gestiti con strumenti di analisi sui dati, aggiornati
con periodicità mensile.
Il presidio della documentazione come leva del controllo (il caso della
contrattualistica MiFID)
Nella seconda parte del suo intervento Giorgini ha posto il problema delle dimensioni di presidio
poste alla base del processo di controllo sui documenti.
Infatti il controllo della documentazione è spesso deputato a controlli di linea non strutturati, ad
ispezioni in loco (filiale) e a campione, con conseguente alto costo e limitata significatività.
L’efficacia del controllo dei documenti in ambito servizi d’investimento è un dimensione critica in
quanto l’irregolarità della carta prevale, nel caso di contenzioso, alla regolarità dei dati a sistema.
Resoconto-Compliance-in-Banks-2010 60
Occorre allora garantire la tracciabilità della documentazione in quanto il processo di gestione
documentale si basa sul monitoraggio durante le fasi di lavoro e sul recupero sicuro e veloce dello
“storico”.
In conclusione Giorgini ha mostrato esempi di applicazione di strumenti e metodi per il supporto
di tale tipologia di controlli.
Resoconto-Compliance-in-Banks-2010 61
Massimiliano Passaro, Responsabile Compliance
Bancoposta Poste Italiane - La gestione del processo di
compliance applicato ai servizi di investimento
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/70/ - solo utenti registrati)
Il dottor Passaro ha svolto una ricostruzione “storica” dell’evoluzione di Poste Italiane e descritto
l’attuale assetto organizzativo del gruppo.
Passando al tema della “Compliance” in Bancoposta Passaro ha cominciato col descrivere il
Sistema dei Controlli interni che è articolato in più livelli:
• Supervisione - Organi Societari e Alta Direzione
• III Livello - Attività di revisione interna svolta da funzione dedicata in Bancoposta e Internal
Audit di Poste Italiane
• II Livello - Presidi nel continuo della gestione delle diverse tipologie di rischio con 2
funzioni (Compliance e Risk Mgmt) dedicata a operatività bancaria e finanziaria
• I Livello - controlli di linea accentrati e sul territorio.
• si opera con una articolazione organizzativa per fase del processo di compliance
• vi è una specializzazione delle risorse (legali/normative, organizzative, audit)
• per singola fase del processo, si attiva un “canale” costante di collaborazione con le altre
funzioni al fine di minimizzare i costi e valorizzare le specifiche competenze
• vi è una continua ricerca di azioni congiunte e/o coordinate verso le unità di
business/commerciali.
Resoconto-Compliance-in-Banks-2010 62
• fruibilità dei flussi informativi/report ai diversi livelli aziendali.
Infine il dottor Passaro ha illustrato un caso di studio dedicato alla verifica di Compliance sui
servizi di investimento.
In sintesi il progetto è consistito nell’identificazione dei possibili rischio di non conformità rispetto
ai processi aziendali impattati dalle attività dei Servizi di Investimento e nel censimento degli
“attributi” del rischio per permettere una valutazione su più viste logiche (es.
normativa/argomenti/ processo/unità organizzativa, prodotti).
Dopo l’identificazione dei rischi si è passato alla loro valutazione “qualitativa” e alla identificazione
delle possibili azioni correttive.
Per la valutazione finale di ciascun rischio, l’assessment qualitativo è integrato nel continuo dalle
evidenze dei controlli di II livello di compliance (positivo, adeguato con aree di miglioramento,
insufficiente). Si è inoltre proceduto con la mappatura dei controlli di II livello di Compliance con
chiara identificazione dell’esecutore (declinazione concreta degli “accordi di servizio” con funzione
di revisione interna).
La valutazione di sintesi a livello di singolo rischio è assegnato sulla base della combinazione tra
l’esposizione al rischio residuo determinata ex-ante e le evidenze del monitoraggio di II livello
risultanti dai controlli ex-post.
In conclusione del suo intervento Passatore ha sintetizzato gli elementi chiave della esperienza di
Banco Poste in tema di controlli.
• Processo di compliance:
o articolato su tre dimensioni: scelte strategiche, assetti organizzativi e procedurali,
comportamento operativo
o come risultato congiunto dell’assessment ex-ante e delle evidenze dei controlli di II
livello di compliance
o “accentrato” nel continuo con ricerca di una costante “interazione” con i process
owner (rilevanza dei flussi informativi)
• Specializzazione delle risorse (articolazione organizzativa della Funzione per “fase del
processo” di compliance)
• Costante attenzione nell’indirizzare la soluzione delle anomalie riscontrate (es. spiccato
ruolo di coordinamento nei progetti aziendali di adeguamento normativo) e nella verifica
degli effetti delle azioni di mitigazione suggerite
• Coinvolgimento nei processi di innovazione e su tematiche di formazione (“prevenzione”)
• Importanza di una piattaforma informatica dedicata e integrata a supporto.
Resoconto-Compliance-in-Banks-2010 63
David Sabatini, Responsabile Settore Finanza ABI -
L’evoluzione del ruolo della Funzione Compliance nei
servizi di investimento
(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-
community.it/documents/69/ - solo utenti registrati)
Il dottor Sabatini ha illustrato l'evoluzione del ruolo della Funzione Compliance nei servizi di
investimento cominciando col richiamare le “Linee Guida ABI, ASSOSIM, FEDERCASSE” in
tema di rapporti tra la funzione compliance e le altre funzioni coinvolte nella definizione delle
politiche
Commerciali.
Sabatini ha ricordato le recenti indicazioni delle Autorità sul ruolo della funzione compliance,
indicazioni più volte richiamate da diversi relatori nel corso dell’intero convegno.
In varie occasioni/documenti le Autorità hanno richiamato l’attenzione degli intermediari
sull’importanza della funzione di conformità alle norme; contemporaneamente è stato evidenziato
lo scarso coinvolgimento della funzione compliance nei processi di innovazione e nella definizione
delle politiche commerciali
Inoltre nel corso di varie ispezioni svolte dalla Vigilanza (come riportato da Banca d’Italia nel
convegno Compliance in Banks 2009) sono emerse criticità quali:
Anche la CONSOB nell’ambito delle proprie ispezioni ha rilevato alcune criticità nell’operatività
degli intermediari, in particolare con riguardo: “ai criteri di definizione delle politiche commerciali
alla luce del dovere di assicurare la cura dell’interesse della clientela e di contenere e gestire i
conflitti d’interesse” (Consob –Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in
http://www.consob.it/main/documenti/news/2010/anno_xvi_n-
06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16)
Gli auspici delle Autorità riguardo le politiche commerciali degli intermediari sono:
• adozione di un modello di business incentrato sul servizio reso al cliente anziché su logiche
di prodotto;
• processo bottom up di definizione del budget;
• valutazione del rischio di non conformità relativo alle scelte strategiche e di budget;
• previsione di obiettivi qualitativi fra i criteri ispiratori del sistema incentivante
• formalizzazione dei processi e delle procedure;
• maggiore coinvolgimento della funzione compliance nel processo di definizione delle
politiche commerciali.
Sabatini ha poi presentato e commentato le “Linee Guida Interassociative” nate dal lavoro
congiunto di ABI, ASSOSIM e FEDERCASSE che hanno ritenuto opportuno definire principi di
Resoconto-Compliance-in-Banks-2010 64
best practice in tema di rapporti tra la funzione di compliance e le altre funzioni aziendali coinvolte
nella definizione delle politiche “commerciali”.
I lavori di redazione delle Linee Guida che hanno avuto inizio nel mese di aprile 2010 e si sono
conclusi nel mese di luglio scorso, hanno visto il coinvolgimento di 19 banche.
Prima e durante i lavori vi sono stati alcuni incontri informali con i competenti uffici della
CONSOB.
Nel mese di novembre è attesa una comunicazione da parte della stessa CONSOB con una presa
d’atto delle Linee Guida.
Passando ai contenuti delle Linee Guida, sono stati individuati 6 temi del modello di business:
• esprime le proprie valutazioni sui rischi di non conformità derivanti dalle scelte in materia di
politiche commerciali;
• deve essere coinvolta nel processo di definizione delle linee guida aziendali e/o delle policy
aziendali.
Il parere della funzione compliance si basa sulle disposizioni normative e regolamentari vigenti,
nonché su eventuali codici/regole autonomamente adottati dall’intermediario.
Per quanto riguarda la strategia , per la definizione delle politiche commerciali, ciascun
intermediario deve ispirarsi, nella propria regolamentazione interna, a quanto deliberato nelle Linee
Guida aziendali così da servire al meglio gli interessi della clientela.
A questo livello la funzione Compliance, con riguardo alla documentazione relativa alle scelte
strategiche:
• è coinvolta dalle altre funzioni competenti per le parti di suo interesse;
• esegue un controllo di coerenza con i principi di primo livello, anche sulle singole proposte
ad hoc, prima della loro sottoposizione all’organo decisionale competente.
Infine Sabatini ha espresso alcune considerazioni finali sui contenuti delle Linee Guida; esse:
In conclusione date le novità previste nelle Linee Guida, la loro implementazione avverrà secondo
un’ottica di gradualità e di progressivo adeguamento da parte degli intermediari in coerenza con la
natura, le caratteristiche e le dimensioni della loro operatività.
Resoconto-Compliance-in-Banks-2010 66
Allegati
Riepilogo della normativa di riferimento citata nel
convegno
• Bank for International Settlements (BIS), “Compliance and the compliance function in
banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf
• Banca d’Italia, “Disposizioni di Vigilanza - La funzione di conformità (compliance)”, 12
luglio 2007,
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/provv_9_7_07.pd
f
• Provvedimento Banca d'Italia/Consob, “Regolamento in materia di organizzazione e
procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del
risparmio”, 29 ottobre 2007, disponibile in html
http://www.consob.it/main/documenti/Regolamentazione/normativa/bi_consob_29_ott_200
7.htm e pdf
http://www.consob.it/documenti/Regolamentazione/normativa//bi_consob_29_ott_2007.
• ISVAP, Regolamento N. 20 del 26 marzo 2008, “Regolamento recante disposizioni in
materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività
delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto
legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private”, italiano
http://www.isvap.it/isvap_cms/docs/F32521/Regolamento_020.zip e inglese
http://www.isvap.it/isvap_cms/docs/F14757/ISVAP%20Regulation%2020_EN.pdf
• Committee of European Banking Supervisors (CEBS), Guidebook on Internal Governance
(CP 44), 13 ottobre 2010, in http://www.c-
ebs.org/cebs/media/Publications/Consultation%20Papers/2010/CP44/CP44.pdf
• CESR, The Committee of European Securities Regulators, “Inducements: Good and poor
practices”, 19 aprile 2010, in http://www.cesr-eu.org/data/document/10_296.pdf
• Kaarlo Jännäri, Report on Banking Regulation and Supervision in Iceland: past, present and
future, 30 marzo 2009 http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf
• Special Investigation Commission (SIC), Summary of the Report’s Main Conclusions, 12
aprile 2010 http://sic.althingi.is/pdf/RNAvefKafli2Enska.pdf
• CONSOB, Delibera n. 17297 in vigore dal 1° luglio 2010, Disposizioni concernenti gli
obblighi di comunicazione di dati e notizie e la trasmissione di atti e documenti da parte dei
soggetti vigilati in
http://www.consob.it/main/documenti/Regolamentazione/normativa/reg17297.htm
• ABI, Assosim, Federcasse, Linee guida interassociative per l’applicazione delle misure
Consob di livello 3 in tema di prodotti finanziari illiquidi, 5 agosto 2009,
http://www.creditocooperativo.it/archivio/50554.PDF
• Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche”
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud (circolare della
Banca d'Italia n. 263 del 27 dicembre 2006, e successivi aggiornamenti, con la quale sono
stati recepiti le direttive comunitarie 2006/48/CE e 2006/49/CE ed il documento
"Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali.
Resoconto-Compliance-in-Banks-2010 67
Nuovo schema di regolamentazione" del Comitato di Basilea per la vigilanza bancaria, cd.
"Basilea II"). Il testo indicato qui di seguito è quello della circolare n. 263 come modificato
dal 3° aggiornamento del 15 gennaio 2009, pdf zip
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud/circ_263_2006.
zip
• Bank for International Settlements (BIS), “Compliance and the compliance function in
banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf
• Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie, 4 ottobre 2007 in
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf
• Committee of European Banking Supervisors (CEBS), Consultation paper (CP 24) High-
level principles for risk management, 8 April 2009, in http://www.c-
ebs.org/getdoc/0861a22e-0eb8-4449-9b3a-f4b1959267c7/CP24_High-level-principles-for-
risk-management.aspx
• CONSOB, Provvedimento recante disposizioni attuative in materia di organizzazione,
procedure e controlli interni volti a prevenire l’utilizzo a fini di riciclaggio e di
finanziamento del terrorismo delle società di revisione iscritte nell’Albo speciale previsto
dall’art. 161 del Decreto Legislativo 24 febbraio 1998, n. 58 e contemporaneamente iscritte
nel Registro dei revisori contabili, ai sensi dell’art. 7, comma 2, del Decreto Legislativo 21
novembre 2007, n. 231, documento di consultazione, 11 ottobre 2010 in
http://www.consob.it/main/documenti/Regolamentazione/lavori_preparatori/consultazione_r
evisione_20101011.htm?hkeywords=&docid=1&page=0&hits=10
• Autorità Garante della Concorrenza e del Mercato, Provvedimento n. 16249 relativo
all’istruttoria Intesa Sanpaolo-IMI, qui in pdf
http://www.agcm.it/AGCM_ITA/DSAP/DSAP_287.NSF/0/c5ef609b3245d345c125725700
564791/$FILE/p16249.pdf
• Commissione delle Comunità Europee, Regolamento (ce) n. 802/2004 della commissione 21
aprile 2004 di esecuzione del regolamento (CE) n. 139/2004 del Consiglio relativo al
controllo delle concentrazioni tra imprese (testo consolidato) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2004R0802:20081023:IT:PDF
• Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel
settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-
lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF
• Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25
September 2009 qui in pdf
http://www.financialstabilityboard.org/publications/r_090925b.pdf
• Bank for International Settlements (BIS), Compliance and the compliance function in banks,
29 aprile 2005, qui in pdf
• Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle
imprese bancarie e finanziarie, 4 ottobre 2007 qui in pdf
http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf
• Banca d’Italia, Le nuove disposizioni di vigilanza in materia di organizzazione e governo
societario delle banche, 4 marzo 2008, qui in pdf
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040
308.pdf)
• CONSOB Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in
http://www.consob.it/main/documenti/news/2010/anno_xvi_n-
06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16
Resoconto-Compliance-in-Banks-2010 68
Link
• Il sito ufficiale di “Compliance in Banks 2010 - La sfida di integrazione dei controlli interni”
http://www.abieventi.it/eventi/1234/
• Il programma ufficiale http://www.abieventi.it/public/files/eventi/compliance-
2010/programma/Compliance_2010_Programma_definitivo.pdf 546 K 2 pp.
• Compliance Community di ABI http://www.compliance-community.it/
• ComplianceNet http://www.compliancenet.it/
• ComplianceNet - Resoconto del convegno ABI "Compliance in Banks 2008" - parte prima
http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-
parte-prima seconda http://www.compliancenet.it/content/resoconto-del-convegno-abi-
compliance-banks-2008-parte-seconda e terza
http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-
parte-terza
• Compliance in Banks 2007 – Intervista a Marco Pigliacampo di ABI Formazione
http://www.compliancenet.it/content/compliance-banks-2007-intervista-marco-pigliacampo-
abi-formazione
• ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)
http://www.compliancenet.it/content/abi-compliance-banks-2007-resoconto-degli-interventi-
parte-prima (seconda http://www.compliancenet.it/content/abi-compliance-banks-2007-
resoconto-degli-interventi-parte-seconda , terza http://www.compliancenet.it/content/abi-
compliance-banks-2007-resoconto-degli-interventi-parte-terza e quarta
http://www.compliancenet.it/content/abi-%E2%80%93-compliance-banks-2007-
%E2%80%93-resoconto-degli-interventi-parte-quarta)
• ABICS – What do you use this tool for? Strumento di supporto alla performance
http://www.compliancenet.it/content/abics-what-do-you-use-tool-strumento-di-supporto-
alla-performance
• ABI, PriceWaterhouse&Cooper, Libro Bianco sul Pillar 2, Il processo ICAAP di
autovalutazione del capitale: le possibili soluzioni per le banche italiane in
http://www.bancariaeditrice.it/prodotti/vedi/prodotto/id/933/libro-bianco-sul-pillar-2
• AIFIRM – Associazione Italiana Financial Industry Risk Manager http://www.aifirm.com/
• Arbitro Bancario Finanziari (ABF http://www.arbitrobancariofinanziario.it/)
• Associazione Italiana Compliance (AICOM http://www.assoaicom.org/ )
• Associazione Italiana Internal Auditors (AIIA http://www.aiiaweb.it/ )
Resoconto-Compliance-in-Banks-2010 69
L’impegno di ComplianceNet per la
diffusione della cultura della
Compliance
ComplianceNet è impegnata da anni nell’opera di divulgazione delle tematiche della compliance,
della privacy e della security.
Di seguito alcune delle opere che ComplianceNet ha realizzato o tradotto per aumentare la
diffusione della cultura della compliance.
Tutti i documenti sono liberamente scaricabili dal sito www.compliancenet.it e possono essere
utilizzati secondo le licenze indicate nelle opere stesse.