COMPILANCE in Banca

RIASSUNTO COMPLIANCE
INTRODUZIONE
Il sistema dei controlli interni svolge una funzione strategica e centrale per una corretta ed adeguata
governance dell’intermediario. Nel corso del tempo i compiti dello SCI andarono ad aumentare e a
svilupparsi sino a diventare il protagonista chiave per un buon trinomio rischio-capitale-rendimento.
Il sistema di controllo interno è alla base di una buona e sana gestione, dove un adeguata individuazione,
misurazione, gestione e monitoraggio dei rischi assieme ad una gestione integrata in termini di controlli
risulta essere il connubio essenziale per poter mantenere una buona performance ed adeguarsi al
contempo alle richieste sempre più attente dell’organo di vigilanza.
L’articolazione del sistema dei controlli interni nella nuova versione “integrata” definisce che ad ogni
organo siano attribuite specifiche funzioni; ogni organo sia “indipendente” dagli altri e le responsabilità così
suddivise creano importanti sinergie e flussi di informazioni che migliorano i controlli che non svolti
singolarmente da ognuno.
Alla base di una corretta e prudente gestione è necessario che vi sia un’adeguata cultura del rischio
condivisa su tutti i livelli.
La finalità sottese al controllo prudenziale risiedono nella volontà del legislatore di rafforzare il legame della
propensione al rischio dell’intermediario con una corretta gestione e mitigazione dei rischi ed il suo capitale
a copertura, così da non far ripetere i traumatici eventi che hanno caratterizzato il decennio scorso.
CAP. 1 LA CONTINUA EVOLUZIONE DEL CONTESTO NORMATIVO

Il sistema dei controlli interni ha subito molte implementazioni dall’evoluzione del contesto normativo di
riferimento nel corso degli ultimi decenni, diventando quindi una funzione essenziale per il connubio
perfetto tra performance e mitigazione del rischio richiesto agli intermediari. Il punto di partenza è
BASILEA1, dove il primo accordo per il capitale fece intuire la volontà del regolatore di voler definire degli
standard in termini di requisiti patrimoniali a copertura dei principali rischi a cui è soggetto l’intermediario.
A questo primo accordo seguì il TUF (testo unico bancario) (1993) e TUB (testo unico finanza) (1998). Il TUB
conferì a Banca d’Italia importanti compiti in termini di vigilanza
Il controllo svolto da BdI e CONSOB definisce una ripartizione di poteri per cui alla Banca d’Italia spetta il
controllo in termini di adeguatezza patrimoniale e del governo della liquidità per i LSI secondo il principio di
proporzionalità, mentre alla seconda spetta il controllo sulla correttezza in termini di informativa e
trasparenza. La ripartizione delle differenti funzioni fu confermato dal recepimento della MiFID (Market in
Financial Instruments Directive), i cui obiettivi erano l’eliminazione del monopolio dei mercati
regolamentari, risolvere i problemi di conflitto di interesse e la scarsa informazione. A MiFID seguì MiFID2,
che entrò in vigore nel 2018. Di notevole importanza è anche il 145° Aggiornamento delle Istruzioni di
Vigilanza per gli Enti Creditizi, emanato nel 1998 contenente la disciplina del sistema dei controlli interni e i
compiti del collegio sindacale, che mirò ad aumentare l’efficacia e l’efficienza dello stesso per stimolare la
sana e prudente gestione tra gli intermediari creditizi. Ulteriori interventi normativi significativi furono la
riforma del diritto societario nel 2003, che ha toccato da vicino l’ambito finanziario e bancario. Sino ad
arrivare al Nuovo Accordo sul Capitale che ci porta alla definizione dei tre pilastri principali del MUV
(Meccanismo unico di vigilanza) di cui requisiti minimi patrimoniali, processo di controllo prudenziale e
informativa al mercato. Con il NAC vi fu una rivoluzione anche in termini di comunicazione tra il vigilante e il
vigilato, ossia un continuo scambio di informazioni per poter definire una miglior e maggior stabilità degli
intermediari nel corso del processo. Con l’introduzione del processo integrato ICLAAP all’interno del
1
processo SREP (processo di revisione e valutazione prudenziale) si intensifica l’esigenza nel disporre di un
adeguato sistema di controlli interni per far fronte alle richieste delle autority. Con l’introduzione di
Basilea2 e l’innovazione in termini di sistema interno di misurazione dei requisiti patrimoniali utilizzando
sistemi di rating interni si ebbe troppa discrezionalità che portò gli intermediari a definire requisiti
patrimoniali inferiori a quelli stimati con il metodo standardizzato. Ciò porto il regolatore a voler intervenire
nuovamente fissando dei limiti in sede di input e output degli stessi requisiti. Nonostante la crisi del 2007
non fu innescata dal nuovo accordo in essere, poiché Lehman Brother applicava ancora Basilea1 il
supervisore rimodellò la normativa per definire dei requisiti patrimoniali più stringenti con Basilea3.
Basilea3 con le rispettive CRD IV e CRR Direttiva 36/2013 e Regolamento 575/UE/2013 definì molteplici
novità in diverse aree di rischio, specialmente per quanto riguarda il rischio di credito e di mercato. Nel
2023 entrerà in vigore il FRTB che rivoluzionerà la gestione e misurazione del rischio di mercato per gli
intermediari.
Il sistema di normative sopraelencate fa riferimento ad una serie di principi cardini quali cultura del rischio,
tempestiva azione del vigilante nel caso di situazioni di dissesto e il principio di proporzionalità.
Nel 2021 sono entrati in vigore nuovi requisiti in termini di competenze e conoscenze del personale facente
parte gli organi dello SCI, dove idoneità, integrità e professionalità sono caratteristiche imprescindibili.
L’importanza del sistema dei controlli interni riveste un ruolo strategico, poiché un adeguato SCI permette
di prevenire, misurare, gestire e monitorare adeguatamente i rischi a cui l’intermediario è soggetto, non
guadando più soltanto al lato della performance intesa come rendimento, ma bensì all’equilibrio dello
stesso con il profilo di rischio e tutte le sue sfaccettature (RAF) con l’adeguatezza del capitale
dell’intermediario. Così il ruolo dello SCI non riveste più una sola funzione per adempiere agli obblighi
imposti dal regolatore, bensì una vera e propria funzione strategica indispensabile per la vitalità dello
stesso intermediario. Grandi passi quindi si sono fatti da quando invece le funzioni di controlli spettavano al
collegio sindacale quale unico soggetto. Così le autorità di vigilanza hanno il compito di indirizzare gli
intermediari nella corretta procedura in sede di controlli e misurazione dei rischi e non quello di sostituirsi
allo stesso, rendendo così i processi un momento di scambio di informazioni continuo tra l’intermediario e
il supervisor. In questo contesto l’attività di compliance è una delle funzioni primarie dello SCI, al pari della
funzione del risk management e del internal audit. Rischi non quantificabili come il rischio reputazionale o il
rischio di compliance (rischio di incorrere in sanzioni per il non rispetto delle normative) nonostante non
abbiano un apposito capitale regolamentale a copertura hanno ripercussioni dirette e concrete per
l’intermediario, che si manifestano con una maggior difficoltà di reperire fonti di funding o un maggior
costo delle stesse. Allora possiamo definire che l’attività di compliance è un ruolo chiave per la fiducia degli
investitori e degli stakeholders, poiché la stessa attività ha ripercussioni sulla credibilità dell’intermediario.
Ad oggi un ruolo sempre più importante è ricoperto dai fattori ESG (Enviroment, social e governance), ossia
fattori ambientali, sociali e di buona governance a cui l’intermediario deve prestare sempre più attenzione.
Gli obiettivi che l’Unione Europea si è prefissata entro il 2050 possono essere perseguiti solo attraverso un
impegno comune, soprattutto sul fronte finanziario e bancario, a cui è stato chiesto di inserire questi fattori
sia in termini di rischi sia in ottica di funding o di linee di credito. Questa conversione, più attenta a
tematiche sociali, ambientali e di buona governance non deve essere vista come un mero obbligo bensì
come un’opportunità in termini di performance e di sostenibilità dell’attività di intermediazione sul medio-
lungo periodo. “Decarbonizzare” l’industria finanziaria genererebbe costi di transizione che sicuramente
verrebbero coperti dalla diminuzione dei costi fisici sul lungo periodo. Questi rischi trovano una loro
applicazione, che seppur interconnessa con gli altri rischi tradizionali dell’intermediazione, presenta
caratteristiche che non possono essere inseriti nelle grandi macro aggregati di rischi tradizionali,
soprattutto in termini di HP di riferimento, debbono allora trovare una loro applicazione in termini di
copertura ed adeguatezza patrimoniale. Attività a supporto da parte degli intermediari si quantificano in
2
una maggior attenzione alla concessione di credito e alla definizione di investimenti seguendo una logica e
degli standard sostenibili, affiancati ad una maggior trasparenza sul mercato onde evitare i sempre più
frequenti fenomeni di “green-washing”. La finanza sostenibile sarà dunque un’importante svolta, capace di
definire un nuovo panorama composto da un mix perfetto (o quantomeno più equilibrato) di rispetto per
l’ambiente ed un buon livello di performance. Il rinascimento della finanza sostenibile non solo sul fronte
ambientale, ma anche di gestione del credito, dove da decenni il panorama dei NPL deve essere sostituito
da una maggior attenzione alle fasi iniziali della concessione delle linee di credito. Un ruolo fondamentale è
quello dell’organo di compliance in sede ESG, in grado di poter verificare l’accuratezza delle informazioni e
delle certificazioni, così a poter definire un “ESG compliance program”. La transizione sembra essere, in
questi primissimi momenti, essere motivata da meri obblighi di compliance e da questioni di “branding”
piuttosto che da obiettivi di performance e sostenibilità finanziaria.
CAP. 2 L’ORIGINE DEI MODELLI DI CONTROL GOVERNANCE NELLE DIVERSE

REALTÀ AZIENDALI: L’INTEGRAZIONE DEI FATTORI ESG
L’evoluzione della funzione del sistema di controllo interno trova la sua fondatezza nell’evoluzione dei
sistemi e strumenti di contabilità e organizzativi utilizzati. Per comprendere il funzionamento dello SCI
bisogna comprendere che questo deriva da due visioni differenti, una visione contabile e una visione
gestionale. Ad oggi la visione contabile fornisce un grande supporto alla funzione gestionale. Quest’ultima
si è venuta a creare con l’avvento delle grandi imprese e quindi con l’aumento della complessità della
struttura organizzativa stessa, si vide così il bisogno di “allargare” la visione contabile e definire funzioni di
controllo anche in termini organizzativi e gestionali. L’evoluzione dei controlli aziendali ha portato quindi a
voler ridefinire anche la stessa terminologia, dove per controlli contabili ad oggi si intendono i controlli
esterni e per controllo aziendale il cosiddetto controllo interno. Il controllo, in tutte le sue diverse
configurazioni, è essenziale come abbiamo già detto, per definire un buon grado di fiducia dai soggetti terzi.
Secondo la visione contabile, le attività di controllo si concretizzano nella presa visione dei documenti e dei
dati, e il termine “auditing” deriva dal latino e significa “ascoltare”. La figura dell’auditor risale a tempi
molto antichi, il primo si ritrova in Inghilterra nel 1300, dove svolgevano funzioni di controllo per la corona,
col passare del tempo gli auditors assunsero sempre più importanza, dalla crisi del ’29 a cui seguì
l’emanazione del “Security Act” ossia la richiesta di certificazioni di bilanci, all’istituzione del “Institute of
Internal Auditors” nel 1941, sino a diventare ad oggi uno strumenti di controllo interno essenziale. La
dinamicità di questa figura richiede un buon grado di adattamento del professionista al mutamento delle
richieste contabili di vigilanza. Il controllo è un meccanismo complesso di cui dobbiamo individuare sia la
componente materiale, composta dai meccanismi e dalle procedure, che quella immateriale, formata
dall’analisi del ruolo che i vertici aziendali assegnano alla funzione di controllo. Essendo allora un fatto
gestionale un mero atto di comunicazione, bisogna comprendere l’importanza del valore che l’esterno
assegna alla funzione di controllo interno. Per questo motivo lo SCI assume una duplice dimensione, da un
lato il controllo interno che verifica come le decisioni gestionali si trasformano in decisioni operative nel
rispetto della normativa e dall’altro la funzione di controllo come un vero e proprio mezzo di
comunicazione con l’esterno, in grado di aumentare il grado di fiducia degli investitori e degli stakeholders.
Il legame tra governance e performance incide sull’accountability stessa e difatti le attività di controllo sulla
corporate governance rappresentano una forma evolutiva di controllo, fondata sull’etica e sulla
responsabilità professionale.
Gli anni ottanta e novanta furono anni che misero in forte dubbio l’integrità dei sistemi di controlli, così da
portare autorità governative, associazioni di categoria e del pubblico a richiedere di ripensare
completamente il sistema di controlli in atto.
3
Le associazioni professionali in termini di internal audit anglosassoni, definirono una commissione di studio
il cui obiettivo era individuare le cause che hanno portato a questo punto di non ritorno per le figure dello
SCI. Si definì allora un modello che andava a richiamare tutte le componenti necessarie per definire un
efficiente sistema di controllo interno. Il modello predisposto fa riferimento ad una matrice
tridimensionale, conosciuta come CoSO Report, Committee of Sponsoring Organisations, considerato il
modello di successo sia per le aziende private che per quelle pubbliche. L’approccio del CoSO Report si basa
su tre assiomi principali:
1. Gli obiettivi dell’organizzazione;

2. I componenti;
3. La dimensione organizzativa.
La matrice tridimensionale definisce allora una forte interdipendenza di queste tre variabili necessarie
affinché il sistema di controllo interno contribuisca al raggiungimento di obiettivi quali:
• Efficienza ed efficacia delle attività operative;

• Attendibilità dei dati e delle informazioni dei bilanci;
• Conformità alle leggi e ai regolamenti;
• Salvaguardia del patrimonio aziendale.
Ne consegue che lo SCI è un “mezzo” per il raggiungimento degli stessi, quindi una funzione integrata a tutti
gli effetti che non può essere considerata come un evento singolo bensì come parte fondamentale del
processo. Il controllo interno è formato da cinque elementi che hanno uno stretto legame tra loro:
1. L’ambiente di controllo;
2. La valutazione dei rischi;
3. L’attività di controllo;
4. Informazione e comunicazione;
5. Monitoraggio.
Ambiente di controllo
L’ambiente di controllo è l’insieme di tutte le componenti del sistema di controllo, composta da molteplici
variabili di carattere sociale, tecnico, individuali e istituzionali.
Valutazione del rischio
La valutazione del rischio ha assunto un’importanza sempre più strategica per gli intermediari, ai quali è
richiesta la corretta e puntuale individuazione, misurazione, gestione e monitoraggio degli stessi. I rischi
dipendono da variabili sistemiche e interne, la misurazione degli stessi si basa sul principio di
proporzionalità. Esistono molteplici modalità di raggruppamento dei rischi, dalla differenziazione di quelli
quantificabili e quelli non. Una buona misurazione e gestione degli stessi è alla base di una prudente e sana
gestione che definisce esiti positivi anche in termini di performance.
Attività di controllo
Le attività di controllo sono l’insieme delle politiche e delle procedure che devono essere attivate per
ridurre i rischi connessi al raggiungimento degli obiettivi. Bisogna ricordare che la stratificazione eccessiva
delle attività e la poca comunicazione tra gli organi dello SCI rende lo stesso sistema poco efficiente.
Possiamo individuare tre categorie di attività di controllo:
• Controlli relativi agli aspetti operativi;

• Controlli sulle informazioni di bilancio;
• Controlli sul rispetto dei vincoli legali e regolamentari.
4
L’ambito informativo
L’ambito informativo è un altro prerequisito essenziale per il corretto funzionamento del sistema di
controlli, dove la comunicazione riveste un ruolo cardine per sia evitare che i controlli vengano svolti da più
funzioni sia perché una comunicazione tra gli stessi rende l’attività di controllo più meticolosa e puntuale.
Monitoraggio
È necessario verificare l’efficienza del sistema del controllo interno attraverso attività di monitoraggio
periodiche in grado di verificare nel continuo la performance dello stesso, valutando al contempo la
capacità dello SCI di resilienza ai cambiamenti di scenario ambientale e normativo. Il controllo può
suddividersi in due modalità, uno determinato da attività di controllo continue e l’altro da valutazioni
specifiche, affidate a soggetti altamente specializzati e indipendenti dal contesto aziendale.
DALL’ENTERPRISE RISK MANAGEMENT (ERM) AL SUSTAINABLE RISK MANAGEMENT (SERM)
nel 2004 è stato pubblicato il CoSO Report II, intitolato Enterprise Risk Management. Questo elaborato
mette in luce l’importanza della figura del risk management come colui che ha la responsabilità di
individuare gestione e monitorare e mitigare i rischi al quale l’intermediario è soggetto, che siano conformi
al profilo di rischio e al modello di business dell’intermediario. Il processo ERM deve essere un processo
continuo nel corso dell’esercizio, che sia condiviso ed insito in tutti gli individui definendo delle politiche
strategiche per l’allineamento tra RAF e BMA. Rispetto al CoSO Report I il CoSO Report II inserisce un nuovo
obiettivo per cui i fini aziendali risultano essere quattro:
• Operativi (economicità delle operazioni che devono essere concretamente realizzabili ed in linea
con le richieste del mercato);
• Informativi (comunicazioni adeguate rispetto alle finalità aziendali);
• Compliance (attività svolta nel rispetto delle leggi e regolamenti);
• Strategici (attraverso un’ottica di lungo periodo permettono di raggiungere i fini aziendali e
creazione di valori per i vari soggetti, considerando trade off rischio-rendimento).
Gli elementi del CoSO passano così da 5 a 8, a cui si aggiungono allora:
6. Definizione degli obiettivi;

7. Identificazione degli eventi relativi ai fattori sia esterni all’impresa sia interni;
8. La risposta del rischio.
L’obiettivo del ERM è quello di supportare il management nella gestione dei rischi legato al raggiungimento
degli obiettivi prefissati assicurando un valore per gli stakeholders, quindi garantendo la conformità del
MBA e del RAF. Lo scopo del ERM si raggiunge mediante le seguenti operazioni:
• Allineamento della strategia sui livelli di rischio accettabili;

• Riduzione della volatilità della performance;
• Analisi e ottimizzazione delle azioni in risposta ai rischi.
Il SERM nasce dall’esigenza di integrare nella visione del risk management anche fattori nobili nell’analisi e
gestione dei rischi, quali fattori ESG. I fattori ESG quindi si concretizzano in:
• Enviromental: (cambiamento climatico, riscaldamento globale, risorse naturali, inquinamento,

rifiuti ed opportunità ambientali);
5
• Social: (Diritti umani, standard di lavoro, sfruttamento, lavoro minorile, rispetto leggi salute e
sicurezza sul lavoro, opportunità sociali);
• Governance: (insieme di regole e principi che definiscono i diritti, le responsabilità e le aspettative
tra le diverse parti interessante nella governance della società, riallineamento degli interessi tra le
parti).
La struttura del ERM si articola in diverse fasi:
1. Governance e cultura;
2. Strategie e obiettivi;
3. Performance;
4. Review;
5. Comunicazione e reporting.
L’adozione dei fattori ESG comporta l’integrazione delle variabili in ogni passaggio e in particolare per la
governance. È necessario che siano anch’essi allineati con la nuova visione sostenibile imposta dal
regolatore, cercando di comprendere come i fattori ESG possano essere una vera opportunità non solo
moralmente ma anche a livello di performance e mitigazione del rischio.
Per il framework del SERM chiaramente l’iter sarà il medesimo considerando però i fattori ESG. In dettaglio
per la governance sarà necessario:
• Mappare e definire i requisiti ESG obbligatori o volontari;

• Considerare l’opportunità di integrare ESG nella cultura e nei valori dell’intermediario;
• Consapevolezza dei rischi connessi all’ESG;
• Mappare le strutture operative;
• Creare opportunità di collaborazione in tutta l’organizzazione;
• Integrare competenze e conoscenze in matria ESG.
Per la strategia e definizione degli obiettivi:
• Esaminare il processo di value creation e il modello di business per comprendere gli impatti nel
medio-lungo periodo;
• Allinearsi con la strategia, BMA e RAF;
• Considerare i rischi connessi in materia ESG e come questi impattano sull’organizzazione.
Per la performance sarà necessario coinvolgere gli ESG risk owner e i professionisti della sostenibilità, per la
fase di revisione è necessario identificare e valutare i potenziali cambiamenti esterni e come questi
impattino sul business ed effettuare eventuali revisioni, per la fase reporting sarà necessario identificare i
canali di informazione, il reporting interno ed esterno, le informazioni sui rischi ESG per adempire agli
obblighi normativi e le opportunità per migliorare la qualità dei dati stessi.
6
CAP 3. IL SISTEMA DEI CONTROLLI INTERNI DELLE BANCHE E LE NUOVE
INDICAZIONI DI VIGILANZA
Come abbiamo precedentemente ribadito, il sistema di controlli interni è una funzione dinamica, che si
presta ad essere modificata a seconda delle normative e dalle volontà del regolatore. La recente crisi
finanziaria ha evidenziato le debolezze intrinseche allo SCI con riferimento non solo ai rischi quantificabili,
ma soprattutto a quelli non quantificabili, come il rischio reputazionale e quello di compliance. Vi sono
numerose correlazioni tra i rischi a cui un intermediario è soggetto ed è proprio la capacità dello SCI di
identificarli e mitigarli di conseguente l’arma strategica che l’intermediario dispone, assumendo le decisioni
e le linee d’azione più opportune. È necessario che lo stesso consiglio d’amministrazione e l’alta direzione
siano adeguatamente informati dell’esposizione al rischio e che all’interno della struttura aziendale sia
diffusa una corretta cultura del rischio che favorisca un processo di controllo continuo ed efficiente. Prima il
sistema di controllo era orientato verso obiettivi di raggiungimento della performance richiesta, facendo
venir meno la misurazione e gestione del rischio intrinseco alla stessa. La revisione dei sistemi di controlli
interni richiesta dal regolatore invece definì una rotta diversa, che si comprendesse il raggiungimento degli
obiettivi in termini di performance, ma che lo stesso modello di business dell’intermediario sia coerente
con l’appetito al rischio, conforme alle normative vigenti in termini di requisiti patrimoniali attraverso un
flusso di informazioni adeguate e corrette.
L’innovazione normativa più rilevante degli ultimi tempi risiede nella determinazione dei 3 pilastri definiti in
sede “MUV” dove il primo definisce i requisiti patrimoniali obbligatori, il secondo è invece definito dal
processo di valutazione e revisione prudenziale SREP e il terzo definisce gli obblighi in materia di
trasparenza e informazione. Il processo SREP è un processo articolato in molteplici fasi per cui si valuta
l’adeguatezza del business model, dell’adeguatezza patrimoniale e del governo della liquidità e
dell’adeguatezza del sistema di controlli interno. Ad ogni fase viene attribuito un punteggio che va da 1 a 4,
dove 4 indica una situazione di dissesto. Il processo finale termina con la richiesta da parte dell’autorità di
vigilanza rispetto ad una richiesta aggiuntiva di capitale a copertura. Questa normativa è volta a uniformare
il sistema di gestione e misurazione di rischi e a determinare un più stabile sistema finanziario.
Gli obiettivi del sistema di controllo interno possiamo nuovamente distinguerli in tre grandi gruppi:
• Obiettivi operativi;
• Obiettivi informativi;
• Obiettivi di conformità.
Lo SCI deve essere un controllo continuo ed integrato al suo interno, dove i diversi ruoli nonostante siano
indipendenti tra loro comunicano e si scambiano informazioni così da rendere più efficiente lo stesso
sistema. Lo SCI deve essere finalizzato a supportare la governance nella corretta e prudente gestione
aziendale. Banca d’Italia definisce il sistema di controlli interni come “un sistema di controlli interni
costituiti dall’insieme di regole, procedure e strutture organizzative che mirano ad assicurare il rispetto
delle strategie aziendali e il conseguimento delle seguenti finalità:
• Efficacia ed efficienza dei processi aziendali;

• Salvaguardia del valore delle attività e protezione dalle perdite;
• Affidabilità e integrità delle informazioni contabili e gestionali;
• Conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani e i
regolamenti interni.”
I controlli interni si dividono in tre linee di difesa:
7
1. Controlli di linea/ strutture operative: che assicurano in corretto svolgimento delle operazioni
quotidiane effettuate dalle stesse strutture produttive o incorporati nelle stesse procedure;
2. Controlli sulla gestione dei rischi: ne fanno parte l’attività di compliance e l’attività del risk
management e l’attività antiriciclaggio, essi sono organi indipendenti dai controlli di primo o di
terzo livello;
3. Attività di revisione interna: volta ad assicurare il corretto svolgimento delle attività di controllo
svolte dal secondo livello. L’internal auditor deve essere un soggetto indipendente dai precedenti e
effettua controlli di continuo, in via periodica o per eccezioni.
Vi è necessità che queste tre funzioni siano indipendenti tra loro, per evitare situazioni di conflitto di
interesse, è altresì necessario che le funzioni dispongano di adeguata strumentazione e risorse per far
fronte efficientemente ai propri compiti e che nel caso si riscontrassero anomalie siano in grado di gestirle
al meglio informando tempestivamente il CdA o la funzione competente.
La funzione di internal audit o revisione interna è volta a controllare in sede di controlli di terzo livello la
completezza ed adeguatezza della struttura organizzativa svolta dalle precedenti funzioni attraverso delle
verifiche periodiche sia in ottica ex ante che ex post. La funzione di revisione deve essere separata e
indipendente da quelle di conformità e gestione dei rischi. In particolare controlla la funzione di compliance
in termini di indipendenza, autorevolezza, possibilità di accesso ai documenti, adeguatezza delle risorse
della stessa e budget sia in termini di adempiere agli obblighi in termini di informativa. La compliance ha
l’obbligo di avvisare la funzione di revisione delle anomalie riscontrate in sede di conformità. Le due
funzioni svolgono attività di controllo in due modalità differente, la compliance utilizza un approccio di tipo
bottom-up, cioè inizia dai processi operativi per valutare il loro grado di conformità e definire interventi
correttivi. La funzione di internal audit invece utilizza un approccio di tipo top-down poiché dovendo
analizzare l’adeguatezza in varie accezioni e non solo in termini di conformità, svolge una verifica analitica
solo su processi ritenuti rischiosi. Sulla base di queste differenze dobbiamo coglierne le sinergie. Al fine di
valorizzare le diverse attività di ambedue si definisce un “Accordo di Servizio”, dove il revisore si impegna a
ad erogare un servizio nei confronti della funzione compliance ed impegna ambedue nei confronti degli
organi aziendali. Questo documento è definito per evitare appesantimenti funzionali inutili e garantire un
buon grado di coordinamento tra le due.
La funzione del risk management invece definisce l’applicazione di technicality e strumenti volti a
identificare, misurare, gestire e mitigare i rischi a cui è soggetto l’intermediario. È responsabile di
predisporre il RAF, far sì che il piano strategico e il modello di business sia conforme alla propensione al
rischio della banca. Questa funzione collabora con la funzione di compliance e si scambiano informazioni
volte a definire una corretta procedura di monitoraggio e controllo dei rischi. Il rischio di compliance fa
parte del rischio operativo che è definito come segue: “il rischio di perdite derivanti dall’inadeguatezza o
dalla disfunzione di procedure, risorse umane e sistemi interni, oppure derivante da eventi esogeni,
includendo il rischio legale ma escludendo il rischio operativo e reputazionale. La funzione compliance
contribuisce al controllo del rischio operativo attraverso l’attività di risk assesment, il presidio metodologico
e il coordinamento delle attività di gestione del rischio, raccolta dati e interviste al compliance officer.
Il comitato delle funzioni di controllo (Audit) è composto dal collegio sindacale, dalla funzione di internal
audit e dalle funzioni di risk management e compliance, ha il compito di supportare la direzione generale
nei processi decisionali. Il comitato esercita supporto consultivo per la direzione, formula pareri di natura
tecnica, definisce le procedure formalizzate di coordinamento e collegamento, definisce la struttura
informativa periodica e la conformità operativa e svolge attività di monitoraggio.
La circolare 285/2013 di Banca d’Italia definisce l’architettura di un sistema di controlli interni efficiente,
definendo quindi non solo la necessità di adeguata strumentazione, risorse, competenze e conoscenze
delle stesse ma bensì anche la necessità di un sistema con funzioni tra loro integrate, al fine quindi di
8
ottimizzare le procedure di controllo, non appesantire le procedure ripetendole inutilmente e facendo sì
che tutti i livelli siano sottoposti ad adeguato controllo in sede operativa. Da un governo integrato di
controllo derivano molteplici benefici quali:
• Efficace flusso informativo e semplificazione delle informative;

• Maggiore aderenza alle nuove disposizioni;
• Incremento nel livello di presidio dei rischi;
• Efficienza operativa.
I principi per un sistema di controlli interno integrato sono:
• Definizione della base informativa e tassonomia comuni;

• Condivisione di una metodologia comune;
• Disegno di integrazione dei flussi informativi;
• Definizione degli strumenti di integrazione.
CAP. 4 I DIVERSI MODELLI DI GOVERNANCE

L’organizzazione dell’intermediario richiede una chiara suddivisione degli organi apicali, necessaria per
poter perseguire sia gli obiettivi in termini di performance sia in termini normativi. L’organizzazione poggia
su caratteristiche quali:
• Rapporti gerarchici e funzionali;

• Suddivisione delle funzioni e delle responsabilità;
• Il sistema di controlli interni.
L’assetto organizzativo introduce a tre funzioni fondamentali all’interno della struttura quali:
1. Organo con funzione di supervisione strategica;

2. Organo con funzione di gestione;
3. Organo con funzione di controllo.
Prima di definire il modello di governance l’intermediario deve comprendere alcuni tratti salienti relativi al
suo assetto societario, alla dimensione e complessità dello stesso, alla struttura organizzativa nel breve-
lungo periodo, all’apertura al mercato e rispetto ai suoi obiettivi strategici. Una volta definito il focus su
queste caratteristiche può predisporre la struttura organizzativa. La struttura organizzativa predispone che
vi sia una chiara distinzione di funzioni e responsabilità ad ogni organo, per cui il bilanciamento dei poteri,
l’equilibrata composizione degli organi, l’efficacia dei controlli e dei flussi informativi tra gli stessi definisca
una governance adeguata al perseguimento degli obiettivi.
L’organo con funzione di supervisione strategica:
L’organo in questione si riferisce all’organo al quale ai sensi del cc o per predisposizione statuaria sono
attribuite molteplici funzioni di indirizzo e gestione sociale. All’organo di supervisione strategica sono
assegnate molteplici funzioni quali:
- Responsabilità di individuare e approvare orientamenti strategici e politiche di gestione rischi;

- Definisce e approva il processo integrato ICLAAP;
- Comprendere la complessità del business e dei rischi connessi;
- Approvare l’assetto organizzativo e di governo societario;
- Definire i compiti degli altri organi;
- Approvare i sistemi di rilevazione contabile;
9
- Supervisionare il flusso di informazioni;
- Nomina del direttore generale;
- Assunzione o cessione di partecipazioni strategiche;
- Nomina e revoca dei responsabili delle funzioni di SCI;
- Adozione delle modifiche richieste dal regolatore;
- Monitoraggio e gestione dei crediti deteriorati;
- Adozione di modelli imprenditoriali;
- Gestione rischi riciclaggio;
- Definizione obiettivi di finanza sostenibile;
- Stabilisce regole di condotta da tenere all’interno della struttura.
N.B: Se l’organo di supervisione strategica è affidato al consiglio di sorveglianza, nel caso di modello
dualistico, lo statuto della banca deve individuare chiaramente le materie di competenza del consiglio e
limitare la sua operatività alla sola funzione strategica.
Nell’organo di supervisione strategica almeno un quarto dei componenti deve possedere requisiti di
indipendenza, autorevolezza e professionalità, in modo da garantire una dialettica di alto livello apportando
un contributo di rilievo alla formazione del medesimo.
Organo con funzione di gestione:
L’organo con funzione di gestione è l’organo a cui viene delegata la gestione corrente dell’intermediario,
ossia l’organo che applica le disposizioni definite dall’organo di supervisione strategica.
Nel modello di governance tradizionale l’organo di funzione strategica e di funzione di gestione sono il
Consiglio di Amministrazione, il quale può delegare poteri di gestione al Comitato Esecutivo e al Direttore
Generale. Il contenuto delle deleghe deve essere definito con puntualità e chiarezza. Tra i compiti
dell’organo con funzione di gestione rientrano:
- Mantenere un efficace sistema di controllo dei rischi;

- Monitorare l’efficacia e l’efficienza a seguito di introduzione di nuove attività o processi rilevanti;
- Stabilire i limiti all’assunzione dei rischi;
- Definire i flussi informativi interni;
- Attuare il processo integrato ICLAAP;
- Responsabile del funzionamento dei modelli interni del credit risk.
Nelle banche di grandi dimensioni o elevata complessità possono esserci più figure apicali dell’organo di
gestione, come ad esempio la presenza congiunta dell’amministratore delegato e del direttore generale,
che però deve esser accompagnata da una definizione puntuale di ruoli e responsabilità di ognuno. Nelle
banche di minor dimensioni è preferibile che vi sia una sola figura di riferimento in termini di organo di
gestione.
Organo con funzione di controllo:
L’organo con funzione di controllo vigila sull’osservanza delle norme di legge, regolamenti e statuarie, sulla
corretta amministrazione, sull’adeguatezza dell’assetto organizzativo e contabile della banca. Ha il compito
di comunicare qualsiasi anomalia all’organo con funzione strategica. Nel modello tradizionale tale compito
è affidato al collegio sindacale dove il revisore legale effettua i controlli contabili, in quello dualistico al
consiglio di sorveglianza e in quello monistico al comitato per il controllo di gestione. Nei modelli dualistici e
monistico le banche devo attuare tutte le prevenzioni nell’attribuzione del ruolo di controllo ad un
determinato organo per garantire un corretto svolgimento dell’attività di controllo.
10
Nel modello dualistico se il consiglio di sorveglianza presenta un numero elevato di componenti si deve
costituire un apposito comitato per il controllo interno. Le persone all’interno dell’organo devono
possedere caratteristiche idonee a preservare la continuità della funzione. Esso è direttamente coinvolto
nella nomina o nella revoca delle funzioni di SCI e sull’architettura dello stesso in termini di responsabilità,
ruoli, funzioni e risorse. Per tutti i modelli l’organo con funzione di controllo:
- Si avvale di flussi informativi provenienti dal sistema SCI;

- L’organo di funzione di controllo della capogruppo deve operare in stretto contatto con quello delle
controllate;
- Fermi restando gli obblighi informativi nei confronti di Banca d’Italia, comunica tempestivamente
all’organo di supervisione strategica le anomalie riscontrate;
- Verifica la propria adeguatezza in termini di risorse e strumenti;
- I componenti di tale organo non possono assumere cariche diverse sia nella società di riferimento
che in società dove l’intermediario detenga partecipazioni strategiche anche indirettamente;
- La scelta del revisore deve essere fatta tenendo conto della professionalità, esperienza e
competenze.
Per le banche che assumono il modello dualistico lo statuto deve prevedere che:
• Il consiglio di sorveglianza possa procede in qualsiasi momento ad atti di ispezione o controllo;

• I consiglieri di sorveglianza possano richiedere a quelli di gestione informazioni sull’andamento
dell’azienda;
• Almeno un componente del consiglio di sorveglianza partecipi alle riunioni dell’organo di gestione;
• La revoca dei componenti del consiglio di sorveglianza deve essere debitamente motivata.
Per le banche che assumono il modello monistico lo statuto deve prevedere che:
• Si attribuisca espressamente al comitato per il controllo i compiti di vigilanza sull’osservanza delle

normative;
• I componenti del comitato possano procedere a atti di ispezione e controllo in qualsiasi momento;
• Si attribuisca all’assemblea il compito di nominare e revocare i componenti del comitato, la revoca
deve essere debitamente motivata.
L’organo con funzioni di controllo svolge:
- Valutazione dell’adeguatezza del sistema dei controlli interni, dei responsabili e delle funzioni
coinvolte;
- Valutazione dell’adeguato coordinamento delle funzioni di controllo;
- Valutazione dell’efficacia delle strutture e delle funzioni di gestione dei rischi.
Modelli di governance
Una volta definito il modello di governance più adatto vi saranno determinati ruoli e requisiti a seconda del
modello. Se le funzioni di supervisione strategica e di gestione sono attribuite a organi diversi (dualistico) è
necessario vi si integrino dei comitati a supporto, con funzioni consultive e di supporto.
Le banche possono scegliere il modello più consono tra i tre sistemi, tenendo in considerazione i cost che
ne conseguono. I modelli monistici e dualistici sono di stampo anglosassone mentre il modello tradizionale
si riscontra esclusivamente in Italia. La scelta può essere definita a seconda dell’apertura dell’intermediario
nei mercati o come conseguenza di fattori o eventi straordinari che definiscono momenti di discontinuità
nella vita della società (come acquisizioni, fusioni e mutamenti nell’assetto di controllo), con il prerequisito
che sia coerente con le strategie aziendali di lungo periodo. Le banche di minore dimensione possono
preferire il modello tradizionale mentre quelle di maggior complessità e dimensione potrebbero preferire
11
gli altri due modelli. In ogni caso la scelta del modello di governance deve essere adeguatamente motivata
nel progetto di governo societario. Il progetto deve essere poi approvato dall’organo con funzione di
supervisione strategica. Nelle banche di maggior dimensioni all’interno dell’organo di supervisione
strategica è necessaria la costituzione di tre comitati, quello “nomine”, “retribuzione” e “rischi”.
L’istituzione dei comitati non deve compromettere il potere dell’organo con funzione di supervisione
strategica. I comitati devono distinguersi tra loro per almeno un componente e ciascun è presieduto da un
presidente scelto tra i componenti indipendenti.
Il comitato nomine: partecipa ai processi per la presentazione della lista degli amministratori delegati, di
autovalutazione del CdA e nella predisposizione dei piani di successione delle figure apicali.
Il comitato rischi: si esprime sul sistema dei controlli interni, sulla gestione del rischio e sull’assetto
informativo-contabile, deve informare il CdA rispetto il RAF e le politiche di governo dei rischi.
Il comitato remunerazioni: ha funzioni consultive sulle politiche di remunerazione, dei compensi delle
posizioni apicali e degli incentivi.
Il comitato delle parti correlate: esso esprime pareri vincolanti sull’adozione di eventuali modifiche della
procedura parti correlate e verificando e proponendo le relative operazioni.
Il comitato corporate social responsability: è un comitato di recente istituzione, il cui compito è svolgere
compiti consultivi in materia di sostenibilità e fattori ESG per orientare al meglio il CdA.
Questi comitati non sono da confondere con comitati quali comitato di gestione, finanziario, di direzione,
che esercitano le loro funzioni sotto il controllo degli altri organi apicali.
In Italia prima della Riforma Vietti (2003) l’unico modello di governance applicabile era quello tradizionale.
La riforma ha introdotto la possibilità di utilizzare anche il modello monistico e dualistico, di stampo
anglosassone. Nel caso di silenzio dello statuto vige la forma del modello tradizionale.
Modello monistico
Il modello monistico (art c.c. 2409) è così denominato per la presenza di un solo organo, il CdA che svolge
sia i compiti dell’organo con funzione di supervisione strategica che quello con funzione di gestione. Il CdA
nomina il Comitato per il Controllo sulla Gestione che invece svolge le funzioni di controllo. I componenti
del comitato sono indipendenti dal CdA e non sono coinvolti nella gestione. Nel caso di ricorso al mercato
dei capitali il numero minimo dei componenti del comitato deve essere 3 e almeno uno di loro deve essere
iscritto al registro dei revisori contabili. I membri devono godere di indipendenza, competenza e
professionalità, nonché essere idonei a ricoprire la mansione.
Modello dualistico
Il modello dualistico invece definisce che l’amministrazione dell’azienda viene ripartita tra due organi
differenti, il Consiglio di Gestione e il Consiglio di Sorveglianza. Il Consiglio di Sorveglianza viene definito
dall’assemblea degli azionisti e di conseguenza lo stesso Consiglio di Sorveglianza nominerà i membri del
Consiglio di Gestione, quindi quest’ultimo è una mera espressione di volontà dell’organo adibito al
controllo. Questi due consigli possono concorrere insieme nel ricoprire il ruolo dell’organo di supervisione
strategica. In questo modello in controllo contabile verrà effettuato da un organo esterno nominato
dall’Assemblea. Al consiglio di sorveglianza spettano quindi compiti in termini sia di controllo che di
supervisione strategica. Un consigliere di sorveglianza deve essere iscritto nel registro dei revisori contabili
e se questo è composto da più di sei componenti è obbligatorio costituire un Comitato di controllo interno.
Il presidente del consiglio di sorveglianza è nominato anch’esso dall’Assemblea. Le deliberazioni sono a
12
voto palese a maggioranza con prevalenza del voto del Presidente per la nomina e la revoca del consiglio di
gestione. I componenti del consiglio di sorveglianza sono soggetti alle stesse regole di decadenza del
Collegio Sindacale. La gestione spetta esclusivamente al consiglio di gestione che propone un piano
strategico che deve essere prima approvato dal consiglio di sorveglianza e successivamente messo in atto. Il
Comitato per il controllo interno deve essere composto da personalità che godono di indipendenza,
professionalità e competenza. Il presidente del consiglio di sorveglianza qualora lo stesso ricopra il ruolo di
supervisione strategica non può far parte del comitato. Almeno tre dei componenti del consiglio di
sorveglianza devono possedere idonei requisiti di professionalità previsti per i Sindaci, i restanti possono
possedere i requisiti di professionalità previsti per gli esponenti con carica non esecutiva. Non possono
ricoprire tali incarichi il coniuge, i parenti e gli affini sino al quarto grado o qualsiasi altro rapporto di natura
patrimoniale che ne comprometta l’indipendenza. I consiglieri sia di sorveglianza che di gestione devono
possedere i requisiti di indipendenza e il presidente deve possedere i requisiti di professionalità come quelli
richiesti dal presidente del CdA.
Modello tradizionale
Il sistema tradizionale prevede che l’Assemblea degli azionisti nomini sia il Consiglio di Amministrazione sia
il Collegio Sindacale, dove il primo svolgerà la funzione di supervisione strategica e di gestione e il secondo
la funzione di controllo. L’Assemblea nomina anche il revisore dei conti. Nel CdA le funzioni di gestione
saranno svolte dai consiglieri esecutivi mentre quelli con poteri non esecutivi svolgeranno la funzione di
supervisione strategica. L’organo amministrativo può essere composto da un singolo (Amministratore
Delegato) o da una molteplicità di soggetti, in questo caso si parlerà di consiglio. Il collegio svolge il modo
autonomo e indipendente l’attività di controllo sulle attività dell’amministrazione. Si riscontrato tre tratti
essenziali in questo modello:
1. Il controllo diretto dell’assemblea sul CdA;

2. Il controllo diretto dell’Assemblea sul Collegio;
3. Separazione tra organo di funzione strategica e organo di funzione di controllo.
Il CdA può individuare dei comitati per svolgere funzioni di supporto all’attività e può essere inserita anche
la figura del Direttore Generale a seconda della dimensione e complessità della banca. Le banche devono
predisporre forme di comunicazione efficace tempestive e complete tra gli organi di supervisione
strategica, di gestione e di controllo. I verbali delle adunanze devono riportare gli interventi e le posizioni
dei partecipanti rispetto all’argomento affrontato. L’Italia, assieme al Portogallo e al Giappone predispone
di un modello ibrido utilizzato a livello nazionale. Il modello tradizionale risulta essere il più utilizzato,
mentre il modello dualistico è stato scelto da un solo intermediario e quello monistico da tre. Nel mondo il
modello più utilizzato risulta il monistico, di stampo anglosassone, a seguire quello dualistico invece tipico
di banche di stampo tedesco.
L’Assemblea dei soci nei tre modelli di governance.
L’assemblea dei soci è l’organo deliberativo della società ed è formato dai soci o dai rappresentanti degli
stessi. Le competenze dell’Assemblea sono suddivise a seconda dell’assemblea di tipo ordinaria o
straordinaria. La differenza non risiede nella composizione ma nelle regole con cui è convocata.
Nel modello monistico l’Assemblea:
• Approva il bilancio;
• Nomina gli amministratori;
• Definisce il loro compenso se non definito dallo statuto;
13
• Nomina il soggetto responsabile del controllo contabile;
• Autorizza azioni di gestione;
• Approva regolamento dell’Assemblea.
Nel modello dualistico l’Assemblea:
• Nomina e revoca i consiglieri di sorveglianza;

• Determina il loro compenso se non definito dallo statuto;
• Delibera sull’esercizio delle azioni di responsabilità dei consiglieri di sorveglianza;
• Delibera sulla distribuzione degli utili.
Nel modello tradizionale l’Assemblea:
• Approva il bilancio;
• Nomina gli amministratori, il collegio e il Presidente del collegio;
• Determina il compenso degli amministratori e dei sindaci;
• Delibera sull’azione di responsabilità degli amministratori;
• Approva il regolamento assembleare.
Rispetto ai flussi informativi è necessario che le informazioni necessarie per esercitare il diritto di voto
rispetto ad una determinata questione siano con congruo anticipo rese agli azionisti in forma chiara e di
facile accesso.
La responsabilità finale del governo societario risiede nell’organo con funzione di supervisione strategica,
tale responsabilità è sancita dallo stesso Codice Civile art 2392. Alcuni studi dimostrano che il modello
monistico risulta essere il più efficiente poiché il rischio di eventuali sovrapposizioni di ruoli e responsabilità
viene meno e la gestione risulta più razionalizzata ed ottimizzata.
I principi fondamentali del governo societario sono:
- Gli intermediari rispettano i diritti degli azionisti, tramite la comunicazione di informazioni chiare e
accessibili avendo consapevolezza dei propri impegni legali nei confronti degli stakeholders;
- L’Organo amministrativo possiede capacità e competenze adeguate a svolgere la propria mansione
e per far fronte ai propri obblighi;
- Gli amministratori con deleghe esecutive devono possedere competenze maggiormente
approfondite in merito ai processi decisionali.
lo statuto inoltre prevede un limite di permanenza massimo degli amministratori in CdA espresso in
numero di mandati o in anni.
Valutazione dell’idoneità dei ruoli apicali.
Il decreto emanato dal Ministro delle Economie e delle Finanze n. 169/2020, entrato in vigore il 1/7/2021
definisce i requisiti che devono disporre gli organi apicali in termini di:
- Requisiti di onorabilità e correttezza;

- Requisiti di professionalità, competenza e proporzionalità;
- Adeguata composizione degli organi;
- Requisiti di indipendenza;
- Rilevanza del tempo necessario per l’incarico;
- Limiti al cumulo degli incarichi;
- Valutazione dell’idoneità e pronuncia di decadenza.
14
Banca d’Italia ha precisato che la responsabilità di individuare gli esponenti idonei a ricoprire un
determinato ruolo è compito dell’intermediario stesso e che questi requisiti siano posseduti per tutta la
durata dell’incarico. In aggiunta a questi requisiti si richiede che la composizione degli organi di
amministrazione e controllo deve essere adeguatamente diversificata in termini di genere, età, provenienza
geografica, durata dell’incarico volta ad alimentare il confronto e la dialettica secondo prospettive
differenti in grado di generare benefici dettati dalla diversificazione degli stessi. In Italia per far sì che vi
fosse inclusione del genere femminile negli organi apicali è stato necessario introdurre la quota di genere,
che ad oggi non sembra essere soddisfatta in termini di organo di supervisione strategica al contrario
dell’organo di controllo. Nelle imprese non quotate il numero di donne risulta essere ancora troppo basso
per soddisfare gli standard richiesti a livello europeo. Le donne all’interno dei CdA hanno soddisfatto
pienamente i requisiti di indipendenza e professionalità.
L’evoluzione e la dinamicità del contesto finanziario dettati da variabili concorrenziali, dalla crescita delle
dimensioni e dalla concentrazione dell’offerta hanno fatto sì che emergessero nuovi interrogativi sul
sistema di controllo interno e d altra parte si è riaccesa l’attenzione sul “value proposition”, ossia l’insieme
di benefici che l’impresa promette di fornire ai clienti da cui questi possano ricavare soddisfazione.
L’operato dell’amministratore è sottoposto a forte pressioni per raggiungere gli obiettivi in termini di
performance sia da parte del mercato sia da parte degli investitori. Sino a poco tempo fa la chiave di lettura
era il reddito, mentre oggi la reddittività è vista sotto un profilo molto più sostenibile e completo. La
creazione di valore ad oggi è un obiettivo che esalta la capacità del manager di perseguire strategie di
sviluppo sostenibile volte ad accrescere congiuntamente la reddittività ed il puntuale controllo dei rischi
assunti, nel pieno rispetto delle indicazioni di vigilanza. Il sistema di controlli interni pertanto deve essere
considerato come il modello di gestione e controllo che consente il coordinamento e l’integrazione delle
attività della banca e non come adempimento formale delle richieste da parte della vigilanza.
CAP. 5 L’ORGANIZZAZIONE DELLA FUNZIONE COMPLIANCE IN BANCA
La gestione del rischio di non conformità si fonda sulla responsabilità individuale diffusa di ogni individuo,
indifferentemente dalla carica ricoperta, che minimizzi la presenza di errori di conformità. Il processo di
compliance si basa sull’approccio risk-based verificando che le procedure interne siano adeguate a
prevenire il rischio compliance, garantendo la conformità alle normative. Il processo di compliance è un
insieme di molteplici attività volte a schematizzare e a standardizzare le attività della stessa funzione.
Il processo di compliance
Il processo di compliance è composto da un insieme di attività nell’ambito della gestione operativa il cui
scopo è quello di creare valore per l’azienda. Il processo è considerato come un momento chiave sia per la
gestione del compliance risk che per tutte le altre aree di business dell’intermediario. Le fasi del processo
sono:
1. Pianificazione;
2. Consulenza;
3. Linee guida;
4. Formazione;
5. Identificazione, misurazione e valutazione;
6. Monitoraggio;
7. Reporting.
15
1. Pianificazione
È svolta secondo un approccio risk-based. Si tratta della produzione di un piano di lavoro annuale nel quale
sono inserite tutte le principali attività da svolgere e sviluppare nell’esercizio. In questa fase vengono
ricondotte:
• Valutazione periodica su base annuale dell’adeguatezza del complessivo sistema di gestione del
rischio di non conformità;
• La programmazione degli interventi ritenuti necessari, quali ridefinizione o integrazione delle
politiche per la gestione del rischio compliance;
• La valutazione dell’evoluzione normativa che può modificare l’esposizione al rischio;
• L’aggiornamento degli strumenti e delle regole operative necessarie a adempiere agli obblighi
normativi.
2. Consulenza
Si tratta del supporto nell’applicazione della legge e nell’individuazione dei comportamenti sanzionati e del
relativo rischio. Si concretizza nelle attività:
• Analisi interpretative delle fonti normative esterne e delle ricadute sui processi operativi aziendali;
• Agevolare la comprensione delle norme e dei comportamenti sanzionabili;
• Supporto alla funzione dell’organizzazione nell’aggiornamento dei processi;
• Valutazione dei rischi ex-ante riferendosi a progetti innovativi;
• Valutazione del livello di formalizzazione dei processi aziendali in riferimento al divario tra quanto
implementato nella propria organizzazione tra quanto implementato e i presidi necessari;
• Sviluppo degli strumenti necessari;
• Valutazione dell’adeguatezza delle attività svolte dalle strutture organizzative.
L’attività di consulenza si divide in due categorie:
- Consulenza progettuale: ossia la consulenza nella gestione del cambiamento in termini di nuove
normative e/o di nuovi prodotti volta a verificare l’adeguatezza dei presidi di governo prima che
vengano adottati;
- Consulenza occasionale: volta a fornire pareri in merito a questioni di natura normativa richiesti da
altri organi o dai vertici aziendali.
3. Linee guida
Questa fase consiste nello sviluppo dei documenti finalizzati ad applicare correttamente le normative di
riferimento, quindi sviluppare attività di supporto a comprendere la corretta applicazione delle norme.
Prevede:
• Analisi delle norme e degli aggiornamenti normativi di competenza dell’area compliance;

• Valutazione degli impatti;
• Produzione o aggiornamento della policy, manuali e codici di condotta;
• Altre comunicazioni sulla corretta interpretazione delle norme.
16
4. Formazione
Consiste nella pianificazione della formazione del personale al fine di aggiornarli sulle normative vigenti e
mettere al corrente lo stesso del rischio compliance che ne deriva e i comportamenti da adottare.
5. Identificazione, misurazione e valutazione
Si tratta dell’identificazione, misurazione e valutazione del rischio di compliance nel contesto

dell’intermediario. In questa fase bisogna analizzare che le procedure interne siano coerenti ed adeguate
rispetto all’operatività della banca sia attraverso delle operazioni di tipo top-down che di tipo bottom-up. È
definita dalle seguenti attività:
• Declinazione delle normative sui processi;

• Valutazione del rischio inerente, considerando il peso/significatività e la frequenza/probabilità;
• Definizione degli indicatori di rischio;
• Valutazione delle azioni di mitigazione e identificazione degli interventi risolutivi;
• Valutazione del rischio residuo.
Ogni rischio residuo se rimane indicativo di condizioni di incertezza al termine della fase suddetta può
essere sia accettato dal CdA sia corretto attraverso azioni di miglioramento/correttive.
6. Monitoraggio
Tale fase consiste nel monitoraggio degli indicatori di rischio e al presidio dei risultati ottenuti con le attività
di mitigazione. Le banche non hanno possibilità di azzerare completamente il rischio compliance e ciò
comporta la necessità di un processo di monitoraggio accurato. La fase di monitoraggio viene svolta
attraverso l’utilizzo di indicatori di carattere quantitativo quali numero dei reclami, numero delle sanzioni,
numero delle transazioni che hanno violato la normativa e numero di indagini. Il monitoraggio inoltre è
necessario per verificare che i vertici aziendali abbiano preso in considerazione le azioni correttive
dell’organo di compliance. Questa fase si caratterizza dalle seguenti attività:
• Monitoraggio sistemico: accertare periodicamente lo stato di avanzamento delle azioni correttive

evidenziando eventuali ritardi o inadempimenti;
• Attività di follow-up: rilevano l’efficacia delle azioni correttive attraverso delle analisi di merito.
• Proporre azioni migliorative in caso di anomalie;
• Valutazione del contenimento del rischio entro gli obiettivi stabiliti dal CdA;
• Definizione di nuove azioni di mitigazione.
7. Reporting
Tale fase fa riferimento alla reportistica periodica del grado di presidio del rischio compliance e di qualsiasi
altro parametro rientrante nel perimetro di competenza dell’organo di compliance. Il reporting deve essere
obiettivo, chiaro e completo. Sono previsti due tipi di report:
• Report ordinario: il report redatto a seguito di un’analisi e un processo di conformità relativo ad

una singola area/attività;
• Report consultivo: reportistica svolta ogni anno al fine di riepilogare tutte le attività svolte
dall’organo di compliance.
Il report ordinario riepiloga in modo sintetico gli esiti delle attività di verifica condotte, sia di adeguatezza
dei presidi interni sia rispetto la loro corretta attuazione. Il report ordinario può contenere allegati tecnici
volti a rendere più esaustiva la stessa reportistica. I contenuti minimali per una reportistica ordinaria sono:
17
- Informazioni generali;
- Obiettivi dell’attività di verifica;
- Sintesi della metodologia di valutazione utilizzata;
- Perimetro delle modalità di esecuzione ed i limiti delle attività>;
- Elementi critici riscontrati;
- Azioni risolutive proposte;
- Valutazione del rischio residuo.
Il report consultivo contiene il riepilogo di tutte le attività svolte durante l’esercizio, le conclusioni raggiunte
rispetto al presidio dei rischi e il riepilogo dei principali interventi proposti. Lo stesso deve riportare:
- Principali attività svolte;

- Valutazione complessiva della conformità alle norme;
- Elementi critici riscontrati ed eventuali azioni correttive;
- Altre attività svolte;
- Monitoraggio.
Il processo di compliance può differire a seconda del modello organizzativo della funzione stessa, ossia se
questo è un modello accentrato o decentrato, se è riconosciuto come una struttura interna o meno.
Modelli organizzativi
I modelli della funzione compliance possono essere studiati sia da un punto di vista macro-organizzativo
che da un punto di vista micro-organizzativo. Per quanto concerne l’aspetto macro-organizzativo Banca
d’Italia e CONSOB definiscono che la funzione compliance deve essere collocata tra i controlli interni di
secondo livello, in base al principio di proporzionalità essere adeguata in termini di risorse e
strumentazione alla complessità dell’intermediario. L’esternalizzazione della funzione è possibile solo se la
banca è una less significant e rientra all’interno del quarto gruppo all’interno del processo SREP. In ogni
caso l’esternalizzazione della funzione è fortemente sconsigliata poiché lo stesso organo di compliance è un
ruolo strategico e chiave per l’intermediario. Per quanto riguarda l’aspetto micro-organizzativo la funzione
compliance può essere di tipo centrato o decentrato.
Modello accentrato
Il modello maggiormente utilizzato dagli intermediari di medie dimensioni è il modello accentrato. Nel
seguente modello la funzione compliance è un vero e proprio organo facente parte del sistema di controlli
interni di secondo livello. Il processo di compliance è affidato alla struttura di conformità che predispone di
un responsabile e uno staff a sua disposizione. Nel caso di gruppo bancario la funzione compliance del
capogruppo predispone un compliance plan e la relazione annuale sulla base dei flussi informativi con le
controllate. La numerosità del team compliance dipende dalla numerosità delle attività che lo stesso deve
svolgere.
Modello decentrato
Il modello decentrato a differenza presenta un referente della funzione compliance che si avvale delle altre
unità per svolgere le attività di conformità. Gli altri membri possono far parte del risk management team o
del internal audit team. I compiti e i ruoli in questo modello devono essere definiti dettagliatamente in
specifici accordi di servizio per non rendere inefficiente la stessa attività. Il modello predisposto potrebbe
essere utilizzato per banche di piccole dimensioni con limitata complessità territoriale dove il compliance
officer si avvale dei flussi di informazioni e della capacità di comunicazione e relazione con gli altri organi.
Modello misto
18
Oltre a questi modelli l’intermediario può scegliere di utilizzare il cosiddetto modello misto, ossia un
modello che dispone di diverse attività svolte in maniera accentrata e altre in maniera decentrata. Questo
modello presenta però maggiori costi fissi dei precedenti. Il modello misto viene utilizzato dalle grandi
banche internazionali o dai gruppi bancari italiani. In questo caso di ogni area di business e ogni
sottogruppo dispone della propria unità di compliance autonoma, che dovrà poi scambiare flussi di
informazioni rispetto al lavoro e alle attività svolte con la funzione compliance della capogruppo. Nel
modello misto assume un’importanza notevole la figura dello Chief Compliance Officer, ossia una figura che
gode dei requisiti di indipendenza, autorevolezza e professionalità in grado di gestire un grande flusso di
informazioni dalle altre aree compliance e svolgere adeguatamente le proprie attività.
Il requisito di professionalità definisce che la figura del CCO abbia adeguate conoscenze, competenze ed
esperienza nell’ambito compliance poiché essendo il rischio compliance un rischio che colpisce
trasversalmente l’azienda, lo stesso deve essere in grado di riconoscere la fonte del suddetto rischio.
Ulteriore carattere richiesto è proprio l’indipendenza, ossia che lo stesso non abbia responsabilità nei
confronti di altre aree aziendali in modo da non definire possibili conflitti di interesse. L’indipendenza deve
manifestarsi anche in termine di redistribuzione, ossia lo stesso deve percepire incentivi o premi che non
siano correlati con il suo incarico ma con la performance aziendale così da evitare ulteriormente conflitti di
interesse. Ultimo requisito che deve disporre il CCO è quello dell’autorevolezza, e per disporlo è necessario
che il CdA e il Collegio Sindacale predispongono un mandato nei confronti dello stesso per poi portare
avanti il suo incarico. A questi requisiti formali gli si aggiungono molteplici soft-skills che aiutino lo stesso
nella complessa mansione. I compiti del CCO non delegabili sono:
• Redazione del compliance plan;

• Redazione della relazione annuale per Banca d’Italia;
• Redazione della relazione annuale per CONSOB;
• Rapporti e comunicazioni con l’autorità di vigilanza;
• Rapporti con i responsabili dello SCI;
• Relazioni con i comitati;
• Consulenza agli altri organi aziendali;
• Partecipazione dei lavori del Board e dei Comitati Interni e sorveglianza degli stessi;
• Verifica della coerenza delle politiche di retribuzione e sistema incentivante.
Esternalizzazione della funzione compliance
L’esternalizzazione della funzione di compliance abbiamo detto è sconsigliata ma può essere definita con
apposita conferma da BdI o dalla BCE sia all’interno del gruppo bancario sia esternalizzando a società terze.
Esternalizzazione della funzione compliance a terze parti
La circolare 285/2013 definisce la possibilità di esternalizzare la funzione compliance solo se si

l’intermediario è un less significant o se è classificato all’interno della categoria quarta del processo SREP.
La richiesta dell’intermediario deve essere predisposta a Banca d’Italia o alla BCE qualora sia sotto il
controllo della stessa (cause di dissesto e quindi sotto il controllo BCE) e entro 60 giorni comunicheranno la
possibilità o meno di esternalizzare la funzione o addirittura definirne divieto.
L’intermediario deve assicurarsi che esternalizzando la funzione i responsabili esterni dispongano di

adeguate competenze in termini di professionalità e affidabilità e che vi sia un adeguato flussi di
informazioni.
Esternalizzazione all’interno del gruppo
19
È possibile esternalizzare la funzione compliance all’interno di un gruppo, sempre previa autorizzazione
della Banca d’Italia o dalla BCE. Gli organi una volta definito l’outsourcing della funzione devono essere
consapevoli che non possono più delegare le proprie responsabilità internamente.
CAP. 6 IL PERIMETRO NOTMATIVO E LE PRINCIPALI AREE TEMATICHE

DELLA FUNZIONE COMPLIANCE
La funzione di conformità è stata menzionata per la prima volta nel 2005. Il framework Basilea fu l’inizio di
una normativa sempre più ampia riguardante la funzione compliance che sviluppo nuove aree e compiti
della stessa. Nel 2005 il Comitato Basilea ha mostrato interesse nella definizione di una funzione in grado di
garantire la conformità alla normativa. È stato proprio con la pubblicazione del framework “Compliance and
the compliance function in banks” che si segna l’inizio della presenza del rischio di conformità e della
necessità di mitigarlo. Questo framework presentava dei principi-chiave quali:
- Responsabilità del CdA secondo cui l’organo di controllo è responsabile della supervisione e
gestione del rischio di conformità e dell’approvazione del piano di azione della funzione
compliance;
- Responsabilità e requisiti del Compliance Officer;
- Relazioni del CCO con il responsabile dell’Internal Audit collaborando ma mantenendo autonomia e
indipendenza.
Questo framework risulta essere fondamentale, il primo passo per una regolamentazione accurata come
quella odierna del sistema di compliance. I principi elencati rimangono il fondamento, nonostante nel corso
degli anni i compiti e le aree di competenza della funzione di conformità sono via via aumentate.
Disposizioni di Vigilanza della Banca d’Italia 2007: “la funzione di conformità”.
Il recepimento di Basilea in Italia avvenne nel 2007 con l’emanazione della disposizione “la funzione di
conformità” da parte di BdI. L’emanazione della disposizione seguente faceva sì che tutte le banche e i
gruppi bancari dovessero applicare tale normativa secondo il principio di proporzionalità. La definizione del
rischio di compliance era la seguente: “il rischio di incorrere in sanzione giudiziarie o amministrative,
perdite finanziarie rilevanti o danni alla reputazione in conseguenza di violazione di norme imperative
ovvero di autoregolamentazione”. La BdI definisce le aree principali della funzione compliance:
- Attività di intermediazione;
- La gestione di conflitti di interesse;
- La disciplina di trasparenza nei confronti del consumatore;
- La disciplina posta a tutela del consumatore.
E ne definisce i principali compiti:
• Il recepimento delle norme e la valutazione delle stesse sul rischio di compliance nell’attività;
• La proposta di modifiche dei modelli e procedure per assicurare la conformità alle normative;
• La predisposizione dei flussi informativi verso il vertice aziendale e verso gli altri organi aziendali;
• Il monitoraggio dell’efficacia dei modelli organizzativi della funzione.
Definisce che la funzione compliance deve possedere determinati requisiti in termini di indipendenza,
autorevolezza, professionalità, disporre di adeguata strumentazione e risorse ed essere in contatto con
tutte le altre aree di business.
20
Regolamento congiunto Banca d’Italia e CONSOB del 2007
L’emanazione della direttiva MiFID (2004/39/CE) ha influenzato e condizionato la funzione di compliance. I

principali scopi della direttiva erano la tutela dei consumatori, la creazione di un mercato uniforme e
trasparente, una migliore gestione del conflitto di interesse e un miglioramento della governance aziendale.
il raggiungimento di tali obiettivi era subordinato ad un efficiente sistema SCI. Con tale regolamento si
ampliano i compiti della funzione di compliance:
• Monitoraggio permanente e valutazione periodica delle politiche messe in atto;

• Funzione di consulenza nei confronti degli altri organi aziendali;
• Riferimento all’organo di gestione e controllo, almeno una volta l’anno dell’efficacia dell’ambiente
di controllo;
• Monitorare le operazioni riguardanti il trattamento dei reclami.
Con questo regolamento si ampliano le aree di intervento della funzione aggiungendo anche:
- Politiche di remunerazione.
Circolare 263/2006 e Circolare 285/2013
Una delle principali fonti normative in tema di controllo interni è la 263/2006 in particolare il suo
quindicesimo aggiornamento del 3 luglio del 2013. La circolare chiamata “Nuove disposizioni di vigilanza
prudenziale per le banche” è il recepimento di Basilea2. Nasce con l’obiettivo di raggruppare in un unico
testo la normativa inerente al SCI. Un altro passo importante fu fatto con l’emanazione di “Disposizioni di
vigilanza per le banche” con la Circolare 285/2013. Con queste disposizioni si ampliano le aree di intervento
della funzione compliance:
- Normativa in materia di dati personali;

- Normativa sulla sicurezza;
- Normativa fiscale;
- Partecipazione e valutazione ex-ante dei nuovi progetti e modelli;
- Formazione delle risorse umane.
E al contempo vanno ad incrementare anche le attività della funzione compliance:
• Misurazione del rischio di conformità secondo un approccio risk-based;

• Individuazione di procedure idonee per la valutazione del rischio;
• Verifica dell’efficacia dei modelli e delle procedure per la prevenzione del rischio;
• Comunicazione diretta con altri organi di controllo;
• Proposta di modificazione dei processi nel caso non sia presidiato correttamente il rischio.
Ad oggi l’intera disciplina sul funzionamento dello SCI si trova nel ventesimo aggiornamento del 21/11/2017
nella sezione III, funzioni aziendali di controllo.
Secondo quanto affermato dalla direttiva i responsabili della funzione compliance e delle altre funzioni di
controllo:
▪ Devono possedere requisiti di professionalità;

▪ Sono collocati secondo una scala gerarchica, il responsabile della funzione compliance è dipendente
dall’organo con funzione di gestione o supervisione strategica;
▪ Non hanno responsabilità diretta in aree operative,
▪ Sono nominati e revocati dall’organo di supervisione strategica sentito l’organo di controllo;
▪ Sono in stretta collaborazione con l’organo di supervisione strategica.
21
Il rapporto annuale della BCE sull’attività di vigilanza del 2016
Con il regolamento 1024/2013 si è dato il via alla definizione del primo pilastro dell’Unione Bancaria
europea, il Meccanismo Unico di Vigilanza. A partire dall’istituzione dello stesso la BCE ha deciso di
pubblicare annualmente un report annuale sull’attività di vigilanza. Nel 2017 il report definiva dei principi
cardini a cui far riferimento quali:
▪ Corretta cultura del rischio;

▪ Solida struttura di governance;
▪ Modelli interni adeguati ed efficienti.
Tutti i rischi compresi quello di non conformità sono soggetti al controllo delle autorità di vigilanza con un
approccio risk-based-supervisory. Con l’introduzione del MUV nasce l’EBA, Autorità Bancaria Europea,
un’autorità indipendente che ha come scopo il rafforzamento della vigilanza macro e micro prudenziale.
Questa emana linee guida o norme tecniche vincolanti nei confronti degli intermediari europei. I requisiti
EBA per la funzione compliance sono molteplici e nel 2017 ha introdotto delle linee guida in cui ha allegato
una matrice a doppia entrata chiamata “Annex I” dove elenca i principali “Key Fuctions Holders”:
▪ Il personale della FC deve essere qualificato in termini di conoscenze e competenze;

▪ Deve avere una politica ben documentata da comunicare a tutto il personale;
▪ Deve istituire un processo per valutare l’aggiornamento e le modifiche della normativa;
▪ Deve consigliare all’organo gestionale le misure per assicurare l’osservanza delle leggi;
▪ Deve valutare il possibile impatto di un nuovo contesto normativo;
▪ Deve avere una procedura di monitoraggio adeguata;
▪ Deve collaborare con funzione RM;
▪ Deve controllare nuovi prodotti e nuove procedure rispetto al rischio compliance.
Nel 2021 l’EBA ha pubblicato un prospetto aggiornati delle linee guida per inserire i rischi ESG, i rischi
connessi al riciclaggio di denaro e finanziamento al terrorismo.
Il perimetro normativo
Il ruolo della funzione compliance si è ampiamente diversificato, passando da una semplice funzione legale
ad una compliance ex-ante ed ex-post volta alla gestione dei rischi. Il rispetto delle policy viene garantito da
un’azione tempestiva e continuativa della funzione che fa sì che la funzione stessa di conformità differisca
da funzione di supporto legale. Il perimetro di intervento è definito da:
- Un perimetro prevalente: ovvero le funzioni più rilevanti del rischio di non conformità dove la
funzione è la diretta responsabile di presidiarlo;
- Altre normative: ossia il coinvolgimento della funzione di compliance graduato sulla base
dell’adeguatezza di conformità dell’area di riferimento.
Il perimetro di intervento viene definito dal CdA e gli ambiti normativi sono solitamente:
- Usura;
- Trasparenza e tutela del consumatore;
- Servizi di investimento;
- Market abuse;
- Privacy;
- Intermediazione assicurativa;
- Assegni e CAI;
22
- Attività di rischio di conflitto di interesse con soggetti collegati;
- Conti e rapporti dormienti;
- Politiche di remunerazione e incentivazione;
- Trattamento del contante;
- Servizi di pagamento-PSD-SEPA;
- Previdenza complementare;
- Partecipazioni detenibili;
- ICT;
- Crediti.
Il ruolo della funzione compliance in relazione alle diverse normative:
• Normativa 231/2001 (Modello 231);

• La MiFID II;
• I processi SREP e ICAAP;
• Direttive Antiriciclaggio;
• Linee guida EBA in materia di monitoraggio crediti.
Modello 231
Il Decreto Legislativo n. 231 del 2001 disciplina la responsabilità degli enti per gli illeciti amministrativi.
Questo decreto si configura come uno strumento di lotta alla criminalità economica introducendo un
sistema sanzionatorio che fa riferimento a normative internazionali e comunitarie, con l’obiettivo di
predisporre una regolamentazione comune sugli illeciti amministrativi. Le sanzioni possono essere di tipo:
• Pecuniarie;
• Interdittive;
• Confisca;
• Pubblicazione della sentenza.
I protocolli tipici del Modello 231 sono:
• Codice etico;
• Il sistema disciplinare;
• L’Organismo di Vigilanza;
• L’insieme delle procedure specifiche per le aree sensibili al rischio di reato.
Il Modello 231 individua le aree più sensibili al rischio di reato, in cui i dirigenti possano agire per propri
interessi ledendo una serie di interesse giuridicamente rilevanti (salute dei lavoratori, privacy, l’ambiente).
Il rischio di reato dipende dal possibile conflitto di interesse in quella determinata area e in questo ambito
la funzione di compliance riveste un ruolo chiave per fronteggiare la mitigazione del rischio di reato ed
adempiere al decreto suddetto. La funzione compliance svolge valutazioni sulla corretta conformità alla
normativa e svolge consulenze verso l’Organo di Vigilanza.
MiFID II
Con l’aggiornamento di MiFID I da cui sono scaturiti la direttiva 2014/65/UE (MiFID II) e il regolamento
2014/600/CE (MiFIR), entrate rispettivamente in vigore nel 2018 hanno predisposto novità in merito al
Product Governance. Il Product Governance è l’insieme di regole atte a contenere i possibili fenomeni del
23
rischio mis-selling (vendita di uno strumento finanziario non adatto alle esigenze o al profilo di rischio del
cliente). La product Governance richiede:
• Una completa conoscenza dei prodotti e dei modelli di business;

• Coerenza con il RAF.
In sede MiFID II la funzione compliance svolge molteplici attività:
• Valuta l’adeguatezza e l’efficacia delle procedure adottate;

• Monitora i rischi per le attività connesse ai servizi di investimento attraverso controlli in loco, a
distanza e sull’offerta;
• Effettua periodicamente un risk assessment;
• Assicura che l’intermediario possa garantire la corretta applicazione delle norme;
• Verifica l’adeguatezza delle informazioni raccolte dal cliente;
• Garantisce la trasparenza delle informazioni.
Sul product governance la funzione compliance svolge molteplici controlli per ogni servizio prestato
dall’intermediario e controlla che i flussi informativi verso gli organi societari siano esaustivi.
Processo di vigilanza prudenziale: SREP e ICAAP
Il processo SREP fa riferimento alla Direttiva 2013/36/UE e al Regolamento UE/2019/876, rispettivamente

CRD IV e CRR. Queste normative definiscono che gli intermediari debbano predisporre con cadenza annuale
o triennale a seconda del principio di proporzionalità il processo di valutazione e revisione prudenziale,
SREP. Lo SREP è un processo continuo dove vigilante e vigilato comunicano periodicamente
sull’adeguatezza dell’intermediario in diverse aree, rispettivamente:
• Adeguatezza Business Model;

• Adeguatezza governo dei rischi;
• Adeguatezza processo ICAAP;
• Adeguatezza processo ILAAP.
Per ogni area è definito un determinato iter procedurale che l’intermediario deve eseguire e
successivamente comunicare all’autorità di vigilanza. Una volta predisposto all’autorità di vigilanza verrà
assegnato un punteggio da 1 a 4 che determinerà la richiesta di capitale aggiuntivo P2R o P2G a seconda se
sia di vincolante rispetto alla situazione di dissesto presentata.
Il processo ICAAP, ora definito processo integrato ICLAAP, presenta le seguenti fasi:
• Mappatura dei rischi;

• Misurazione dei rischi in ottica attuale prospettiva, in condizioni usual e stressed;
• Determinazione del capitale interno complessivo;
• Riconciliazione coi fondi propri.
Il processo ILAAP invece definisce le seguenti fasi:
• Assessment liquidity risk nel breve periodo: utilizzando sia modelli di analisi per stock che per flussi,
sia in ottica usual che stressed;
• Assessment funding liquidity risk: si analizza il rischio di funding dell’intermediario e quindi il rischio
di liquidità nel medio-lungo periodo tenendo conto della possibilità di reperire liquidità sul
mercato;
24
• Assessment liquidity risk management: si analizza la capacità del governo della liquidità di
presidiare il rischio di liquidità e che lo stesso disponga di adeguate strutture e risorse per ricoprire
adeguatamente la mansione, analizzando il Contingency Funding Plan predisposto.
In questo ambito i compiti della funzione compliance sono:
• Attività sui controlli di primo livello: adeguatezza rispetto alle normative e coerenza con il RAF;
• Attività sul rischio di compliance: identifica, misura, monitora e mitiga il rischio compliance;
• Attività sul processo SREP: valuta conformità processo ICLAAP e coerenza con RAF, adeguatezza SCI.
Antiriciclaggio (Sesta direttiva Antiriciclaggio)
La sesta direttiva in materia antiriciclaggio è frutto di un impegno ventennale nella lotta ad attività criminali
che nel corso degli anni è andata ad evolversi e svilupparsi secondo i mutamenti dei contesti e delle forme
di criminalità. AML, la sesta direttiva antiriciclaggio, Direttiva UE/2018/1673 ha come obiettivo combattere
i gruppi di criminalità organizzata transazionale. Tra gli obiettivi troviamo:
• Contrasto al riciclaggio proveniente da attività illecite;

• Inclusione reato di finanziamento del terrorismo;
• Adeguata verifica della clientela attraverso identificazione del cliente;
• Ampliamento dei soggetti obbligati includendovi anche gli operatori di valute virtuali;
• Introduzione reati ambientali e informatici;
• Introduzione reati sostegno e favoreggiamento, tentativo ed istigazione;
• Tratta di essere umani e traffico di migranti;
• Sfruttamento sessuale;
• Traffico illecito di stupefacenti e sostanze psicotrope.
Gli intermediari sono quindi chiamati ad adempiere ad una serie di attività quali:
- Obbligo di autovalutazione del rischio di riciclaggio;

- Rafforzamento di adeguata verifica del cliente;
- Conservazione dei dati;
- Comunicazione delle violazioni rispetto all’uso del contante;
- Segnalazione delle operazioni sospette di riciclaggio;
- Adeguata formazione dei dipendenti;
- Collaborazione con le autorità di riciclaggio.
In questo contesto la funzione di conformità svolte un ruolo chiave nella prevenzione del rischio. In base
alla complessità dell’intermediario la funzione compliance può comprendere la funzione antiriciclaggio o
questa può essere una funzione a sé stante. Se fossero due distinte funzioni queste dovrebbero collaborare
e scambiarsi flussi di informazioni tale per cui l’organo di compliance possa contribuire a definire azioni
volte alla prevenzione dello stesso rischio.
Linee guida EBA in materia di erogazione e monitoraggio crediti
Nel 2020 l’EBA ha pubblicato le linee guida per i Loan Origination and Monitoring (LOM), ossia degli
orientamenti sull’erogazione e monitoraggio del credito, recepite da Banca d’Italia che dal 2021 sono stati
applicati a banche e gruppi bancari italiani. Le LOM includono dei requisiti in termini di concessione del
credito, solidi standard di erogazione del credito e di gestione del rischio di credito e controparte. Le LOM
sono orientate a prevenire che le esposizioni in bonis diventino crediti deteriorati. I requisiti sono suddivisi
in diverse sezioni quali:
• Requisiti in materia di governance;

25
• Emissione di prestiti;
• Determinazione del pricing;
• Valutazione e monitoraggio delle garanzie;
• Monitoraggio.
Nonostante le LOM abbiano standardizzato diversi requisiti creano allo stesso tempo delle unità di misura a
cui far riferimento. I nuovi standard di governance del credito richiesti dalle LOM sono relativi a diversi
ambiti:
• Cultura e governance del rischio: richiede che vi siano adeguati processi di valutazione e
monitoraggio affiancato ad una sviluppata cultura del rischio.
• Quadro di gestione del rischio di credito e di controllo interno: relativo all’assegnazione delle
responsabilità e dei ruoli nelle diverse fasi;
• Politiche e procedure relative al rischio di credito: le linee guida EBA introducono nella stima del
rischio di credito anche i fattori ESG quali rischio di transizione e rischio fisico;
• Propensione al rischio di credito, strategia e limiti di rischio: predisporre RAF puntuale;
• Assunzioni di decisioni sul credito: in tema di assunzione di decisione è necessario che i responsabili
delle decisioni godano di elevata professionalità.
• Risorse, competenze e remunerazione: predisposizione di personale adeguato in termini di
esperienza, capacità e competenze in materia di credito.
CAP. 7 ANALISI METODOLOGICA DELLA GESTIONE DEL RISCHIO DI

COMPLIANCE E DI REPUTAZIONE
Compliance risk assessment
Il processo di compliance risk assessment si concretizza nella quinta fase del processo di compliance, più
nello specifico nella fase di identificazione, misurazione e valutazione del rischio. È un processo di self-
evalutation posto in essere dalla funzione compliance durante la fase di gestione del rischio.
Questa fase deve essere coerente con il RAF e viene svolta secondo un approccio di tipo bottom-up.
L’obiettivo è quello di individuare il rischio inerente e il relativo rischio residuo. La fase di risk assessment è
“un processo trasversale e polifunzionale che consta di presidi organizzativi e operativi atti ad evitare
disallineamenti con l’insieme delle regole esterne ed interne”. Questa procedura è preceduta dall’impact
analysis. L’impact analysis è una fase precedente il cui obiettivo è raccogliere il maggior numero di
informazioni possibili dalla normativa al fine di trasformarla in una serie di principi e requisiti.
Impact analysis
In primo luogo bisogna distinguere le normative core da quelle non core, ossia, per normative core
intendiamo le normative dove è previsto il massimo coinvolgimento della funzione compliance, mentre
quelle non core sono quegli ambiti dove il coinvolgimento è minore. Nella prima il principale owner è la
funzione compliance mentre nel secondo caso vi sono due responsabili, la funzione compliance e le funzioni
specialistiche incaricate.
Nell’ambito delle normative non core è necessaria una buona comunicazione e scambio di flussi di
informazioni tra la funzione specialistica e quella compliance, in particolare, i flussi di reporting devono
prevedere:
• Segnalazione nel caso si verifichi un’anomalia di processo alla FC;
26
• Informativa su eventuali mancanze o gap alla FC;
• Reporting semestrale nel quale il presidio specialistico comunica a FC l’attività svolta;
• Attestazione annuale di conformità, dove il presidio specialistico assicura e garantisce l’esecuzione
delle attività.
A seguito viene costruita una Rule-Map, dove vengono inserite tutte le normative e la rispettiva rilevanza e
responsabile. Attraverso questa mappatura è possibile avere sotto controllo il perimetro di azione della
funzione specialistica e della FC. La classificazione della rilevanza va svolta secondo tre principali rischi:
• Rischio reputazionale: viene misurato sulla base delle conseguenze attese da violazioni di
normative, si prende in esame i comportamenti non professionali, inadeguata gestione di situazioni
di conflitto di interesse, insufficiente trasparenza e comportamenti fraudolenti del top
management.
• Rischio sanzione: viene attribuito un punteggio sulla base del profilo sanzionatorio di ogni
normativa e del modello 231;
• Interessi tutelati: viene stabilita la soglia di rilevanza sulla base della protezione del consumatore,
tutela della stabilità, prevenzione e contrasto ai crimini finanziari.
Processo di compliance risk assessment
Il vero e proprio processo di assessment è composto dalle seguenti fasi operative:
1. Individuazione del rischio inerente;

2. Valutazione e adeguatezza dei controlli;
3. Valutazione del rischio residuo e gap analysis;
4. Valutazione di efficacia.
Individuazione del rischio inerente.
Il primo step del processo consiste nell’individuazione del rischio inerente o rischio lordo. Vengono
individuati i potenziali rischi a cui viene associato un certo valore (rischio inerente). Per rischio inerente si
intende il rischio specifico legato alla natura stessa di un’attività e presente in ogni area di business,
processo o prodotto. L’attribuzione del valore di rischio si basa su:
• Probabilità/frequenza di accadimento del risk event;

• L’impatto economico causato dal risk evento (peso.)
La prima cariabile presenza diverse criticità, ossia non sempre si è in grado di riscontrare delle serie storiche
adeguate e profonde da stimare puntualmente la probabilità di accadimento. Per limitare questo problema
si prendono in considerazione variabili che possono determinare il risk event. Per quanto riguarda la
seconda vengono prese in considerazione variabili specifiche come il valore delle operazioni realizzate, la
tipologia delle sanzioni e l’entità delle sanzioni. Nel caso il rischio inerente sia troppo elevato vengono presi
in considerazioni i Key Risk Indicators, che hanno la funzione di monitorare e controllare il rischio nel
tempo. In questa fase viene tenuto in considerazione anche il rischio reputazionale, che può essere rilevato
separatamente o congiuntamente alla componente conformità.
Per ogni singola normativa la struttura di compliance determina il rischio inerente secondo due diversi
fattori:
• Rischio sanzione;
• Rischio reputazionale.
27
La somma dei due componenti definisce la valutazione di impatto lordo. Questa valutazione di impatto
lordo viene rapportata ai fattori dimensionali. Esempi di fattori dimensionali sono:
• Rilevanza rispetto alla strategia aziendale;

• Rilevanza rispetto al business model;
• Rilevanza organizzativa;
• Storico sanzioni;
• Attenzione dell’autorità di vigilanza.
Viene successivamente definito uno score sintetico del rischio inerente dato da:
score Rischio Inerente=somm(x*f)/somm f
dove x rappresenta lo score attribuito alla singola norma e f il peso attribuito agli score associati alle norme.
Lo score viene poi rapportato con dei valori soglia predeterminati che definirà se lo score è minimo,
moderato, rilevante e critico.
Valutazione di adeguatezza dei controlli.
A seguito dell’individuazione del rischio inerente si valuta l’adeguatezza dei controlli in termini di presidio
del rischio. Vengono valutati ex ante tutti i processi di controllo e le azioni di mitigazione mese in atto
necessarie a ridurre il rischio compliance. A fine della fase verrà attribuito uno score in base a diversi fattori
quali:
• Efficacia delle azioni di mitigazione;

• Grado di automazione dei processi;
• Rotazione e formazione del personale.
Lo score definirà un punteggio da 1 a 5 dove 1 definirà un sistema efficace di presidio del rischio e 5 un
presidio inefficace.
Valutazione del rischio residuo e gap analysis.
la terza fase è la stima e l’identificazione del rischio residuo. Nel caso questo risultasse troppo elevato è
necessario attuare delle azioni di correzione per mitigare lo stesso. Questo processo viene definito come
gap analysis e ha come obiettivo quello di far rientrare il rischio residuo nei limiti previsti. Gli interventi
correttivi sono sottoposti all’approvazione degli organi di direzione. Per quanto prevede le attività non core
la funzione compliance deve valutare periodicamente l’attività dei presidi specialistici in termini di:
• Documenti di reportistica;
• Verifiche svolte autonomamente sulle aree normative non core.
Ciascuna struttura produce trimestralmente un quarterly report e annualmente un’attestazione sull’area

normativa presidiata. Il prospetto di valutazione prevede che la FC attribuisca valutazioni su:
• Tempistiche e contenuti dei report;

• Svolgimento degli adempimenti;
• Effettuazione dei controlli di conformità programmati;
• Adeguatezza della metodologia;
• Capacità di individuare la risoluzione delle criticità.
28
In fine la FC esprime la sua valutazione qualitativa in relazione alle evidenze derivanti dall’attività di
supporto e dagli esiti delle verifiche di conformità svolte autonomamente. La valutazione avviene
attraverso l’attribuzione di un punteggio/scoring che va da A a D.
Valutazione di efficacia
A fine del processo viene fatto un test di efficacia al fine si misurare l’effettiva capacità dei controlli e delle
rispettive azioni di mitigazione. A fine del test viene attribuito un punteggio che va da 1 a 5, dove 1 indica il
presidio adeguato e 5 il non raggiungimento del presidio richiesto.
Metodi di misurazione del compliance risk
Ci sono quattro metodologie differenti per stimare il rischio di conformità ed ognuno di questi presenta
vantaggi e svantaggi, la scelta della metodologia dovrà essere effettuata tenendo conto anche delle risorse
e delle strumentazioni a disposizione. I metodi sono:
• Approccio binomiale;
• Approccio di mercato;
• Approccio Earnings at Risk (VAR);
• Approccio di scenario.
Approccio binomiale.
Questo approccio prevede che la stima del rischio di non conformità quantificandone la perdita attesa e la
perdita inattesa. La prima cosa da fare è mappare gli eventi riconducibili al compliance risk e
successivamente bisogna identificare per ognuno di questo il suo Exposure Indicator (EI). Tale indicatore
rispecchia il rischio a cui l’intermediario è esposto e può essere:
• Indicatore di ricavi;
• Indicatore di margine di interesse, di intermediazione o operativo;
• Indicatore di volumi.
Ad ogni specifico indicatore di esposizione viene attribuita una probabilità di accadimento (p) e sulla base
della probabilità e del rischio specifico viene calcolata la perdita media Loss given event (LGE)o il tasso di
perdita Loss given event rate. Stabilite queste variabili si procede con il calcolo della perdita attesa e della
perdita inattesa. La perdita attesa EL viene calcolata come il prodotto tra EI*P*LGE. La stessa può essere
espressa anche in forma semplificata come il prodotto tra P*LGE tralasciando le indicazioni rispetto
all’indicatore di esposizione. La seconda fase prevede la stima della perdita inattesa. Questa può essere
calcolata come la volatilità della perdita attesa e come la variabilità attorno al valore medio, quindi come la
deviazione standard delle perdite derivanti dal compliance risk. La stima della volatilità in questo rischio è
molto complessa in quanto si basa sulla presenza di adeguate serie storiche. Le serie storiche possono
essere raccolti sia internamente che esternamente o da una combinazione tra le due. Il metodo più
semplice è ipotizzare che la distribuzione delle perdite possa essere rappresentato da una funzione
binomiale, in questo caso la media e la deviazione standard della distribuzione di probabilità. Quindi la
perdita inattesa (UL) sarà data dal rapporto della LGE*(P*(1-P)) dove la seconda parte è la deviazione
standard della p. secondo la logica del rischio sarebbe opportuno calcolare la matrice varianze-covarianze
tra i diversi eventi per cogliere la correlazione.
Approccio di mercato
29
Questo approccio è utilizzato prevalentemente da banche e imprese quotate, poiché sfrutta il fatto che
qualsiasi evento che definisce rischi in termini di conformità o di reputazione sia immediatamente
percepito dal mercato. Si pone l’obiettivo di studiare il gap che intercorre tra la perdita comunicata al
mercato a seguito di un evento compliance risk event e la relazione dei prezzi delle azioni. In questo caso la
reazione del mercato può essere riconducibile alla componente reputazionale del rischio di non conformità.
Più elevato è il gap più alto sarà il danno reputazionale. Tale rischio può configurarsi come:
• Aumento del costo della liquidità e delle risorse finanziarie;

• Perdita dei clienti e dei partner commercial;
• Aumento dei costi dovuti al rafforzamento di processi o funzioni.
Questo tipo di approccio si basa sull’ipotesi che a seguito di perdite economiche derivanti da difetti interni
di conformità la reazione del mercato sul prezzo delle azioni sia amplificata. L’approccio consiste quindi
nell’analisi dell’andamento comune e di quello anomalo.
R=K+e;
Dove K è il rendimento tipico del titolo, e il rendimento anomalo-inatteso e R il rendimento totale. La

componente “e” viene solitamente definita come “AR” Abnormal Return e può essere calcolato come:
AR=R-K;
allo stesso modo si individua il “Cumulative Abnormal Return” (CAR) che viene considerato come la
sommatoria di tutte le AR. Secondo il modello se non vi sono anomalie riconducibili alla fattispecie di non
conformità il valore “AR” sarà pari a 0, mentre un elevato valore di AR dimostra che può esserci la presenza
di un notevole impatto reputazionale. Per lo studio delle anomalie è indispensabile che vi sia:
• Un rendimento effettivo R per cui vi sia la probabilità che possa avere un andamento anomalo;
• Un modello che provveda a fornire la componente comune K per ogni singolo titolo, i modelli più
utilizzati sono CAPM e APM.
Approccio Earnings at Risk (VAR)
In questo caso il rischio non viene definito secondo il valore degli assets ma sulla volatilità degli utili. È
possibile misurare l’impatto sul risultato economico di una specifica unità di business a seguito di un
comportamento non conforme alle normative. In questo caso vengono raccolti i dati storici del risultato
d’esercizio in presenza di un evento riconducibile alla fattispecie del compliance risk e in situazione normali.
L’utile viene corretto per la perdita attesa riportata a conto economico (ovvero, la perdita reputazionale
per il compliance risk). Questa metodologia viene ricondotta alla tecnica del Value At Risk grazie al quale è
possibile stimare la massima perdita potenziale definito un certo intervallo di confidenza e un determinato
orizzonte temporale. L’utilizzo della metodologia VAR comporta la misurazione di una potenziale UL e
quindi si basa sull’approccio statistico-probabilistico che presenta vantaggi e svantaggi. I vantaggi della
metodologia è che gli EaR possono rappresentare il rischio per una specifica area di business e la loro
misurazione è molto semplice, tuttavia vi è il problema di avere un sufficiente track record e quindi di
comprendere il reale coinvolgimento del compliance risk in caso di perdita. Per questo motivo viene
utilizzato spesso come strumento di supporto e non come unico strumento per la stima del CR.
Analisi di scenario
L’analisi di scenario si basa sulla previsione di possibili eventi futuri negativi o positivo a seguito di variazioni
di alcune variabili. Le analisi di scenario permettono di fronteggiare un possibile evento e definire ex ante
delle attività di risposta tempestive. Nel caso di rischio di conformità vi sono diverse tecniche;
30
• Approccio bottom-up: i partecipanti delle diverse aree aziendali ipotizzano le probabilità di
accadimento;
• Approccio top-down: l’Alta Direzione definisce i possibili scenari futuri.
L’analisi di scenario permette di stimare l’impatto dell’evento sulla operatività sia in termini di perdite
dirette che indirette. Queste determinazioni di scenario prevedono un certo margine di soggettività così da
definire anche in questa metodologia dei limiti.
Key Risk Indicators
I KRI sono degli indicatori di semplice costruzione che permettono la gestione del compliance risk. Il loro
monitoraggio permette di valutare la presenza di andamenti anomali o potenziali eventi di mancata
conformità. Il controllo di tali indicatori può essere realizzato anche a distanza e in via preventiva. Questi
KRI soddisfano una serie di obiettivi quali:
• Può orientare il controllo l’operatività e il monitoraggio verso le aree più problematiche;

• Può facilitare il controllo migliorando l’efficienza del processo di valutazione.
La creazione di tali indicatori richiede la definizione di uno schema base in cui vengono contestualizzati tutti
gli indicatori divisi per caratteristiche ed obiettivi. Per ogni indicatore devono esserci informazioni
dettagliate sia riguardo la sua tipologia sia riguardo i dati-input di ricerca necessari. Tale schematizzazione
risulta rilevante al fine di standardizzare ogni eventuale processo. Le variabili prese in considerazione per la
costruzione dei KRI sono:
• Area di business;
• Perimetro normativo;
• Obiettivo;
• Descrizione numeratore e denominatore;
• Codice dell’indicatore;
• Coefficiente di relazione anomalia/normativa identificando il livello di rilevanza dell’indicatore;
• Frequenza;
• Granularità, ovvero il livello di dispersione dei dati necessari per la costruzione del KRI.
Il risultato di ogni indicatore è relativo ad uno specifico holding period e per ogni KRI deve essere
determinato un benchmark o valore soglia oltre il quale è necessario uno specifico processo di controllo.
Ovviamente il benchmark può essere definito sia internamente sia dalle stesse autorità di vigilanza. È
necessario effettuare controlli periodici di questi indicatori al fine di contestualizzarli per il periodo di
riferimento. I KRI possono distinguersi in tre grandi categorie:
• Indicatori di esposizione: indicano l’andamento delle grandezze patrimoniali ed economiche da cui

possono essere identificati eventi e normative rilevanti;
• Indicatori di anomalia: identificano eventi critici che si stanno manifestando;
• Indicatori di perdita: identificano le perdite a conto economico a seguito di sanzioni pecuniarie.
Modello VaSCO e IRC
I principali strumenti di gestione del rischio di non conformità sono il modello VaSCO e gli IRC. Il modello
VaSCO, modello di valutazione dello stato di conformità permette di ottenere valutazioni sintetiche del
livello di rischio attraverso l’assegnazione di giudizi numerici/quantitativi. Il modello consente di valutare lo
stato di conformità ad ogni normativa core. Gli obiettivi del modello sono di garantire la valutazione
complessiva del compliance risk assicurandone il monitoraggio e fornire un elenco comune di valutazione
31
per la banca e le sue controllate. Per ciascuna area normativa si ottengono delle valutazioni sintetiche
dello:
• Stato di conformità ex-ante (conformità aziendale);

• Stato di conformità ex-post (conformità operativa).
Le valutazioni sono attribuite attraverso un algoritmo che attribuisce pesi maggiori ai valori negativi a
ciascuna area normativa e vengono calibrati su una scala di sei livello. La conformità aziendale viene
valutata secondo fattori quali:
- Requisiti strategici;
- Requisiti strutturali;
- Requisiti organizzativi.
Mentre per la conformità operativa vengono presi in considerazione:
- Adempimenti operativi e condotte;

- Monitoraggio a distanza: inteso come esito finale delle verifiche effettuate dalla funzione di
compliance e la rilevazione e monitoraggio attraverso gli IRC.
Gli IRC o Indicatori di Rischio di Non Conformità, riconducibili ai KRI, permettono di focalizzare l’attenzione
verso elementi di natura quantitativa ed integrare valutazioni qualitative, mediante estrazioni di dati già
inseriti nel sistema informativo ed esprimono valori numerici rappresentativi del livello di conformità. Ogni
IRC ha un obiettivo di controllo e monitoraggio e la valutazione periodica permette di cogliere attraverso
una visione ex-post, le aree critiche e quindi quelle dove intervenire. Gli IRC permettono di raggiungere
determinati obiettivi quali:
• Identificare gap di conformità;

• Individuare comportamenti anomali;
• Determinare le aree a maggior rischio;
• Integrare il report con dati sul livello di conformità.
Tali indicatori sono associati ai fattori di rischio riscontrabili nel modello VaSCO.
CAP.8 LA FUNZIONE COMPLIANCE IN OTTICA BUSINESS ORIENTED
Compliance business oriented
La banca deve porre al centro la compliance considerandola non solo una funzione di controllo ma
cogliendo l’opportunità di azione della stessa volta a promuovere la valorizzazione e l’impegno al fine di
garantire alla banca la capacità di conseguire i propri obiettivi rischio rendimento. L’obiettivo è valorizzare
l’importanza strategica dei propri asset e soddisfare le aspettative tenendo conto di tutti gli stakeholders
dell’impresa. A tal proposito è di notevole rilevanza il concetto di capitale intellettuale. Il capitale
intellettuale mira a fornire un quadro del patrimonio intangibile, inteso come l’insieme di competenze,
conoscenze, aspetti organizzativi e relazionali che costituiscono elementi essenziali al fine della creazione di
valore. Il bilancio ha difficoltà nel misurare adeguatamente il valore di questi assets intangibili a causa di
diversi limiti. Il primo limite risiede nell’utilizzo del costo storico come driver di valutazione e il secondo
discende dal fatto che è impossibile registrare gli elementi intangibili prodotti internamente. Già Zappa nel
1950 definisce che la vita aziendale è molto più complessa di quanto non si registri nelle scritture contabili.
Quindi analizzando il bilancio sociale e il bilancio del capitale intellettuale troviamo molti punti di incontro e
32
molte differenze. Le principali differenze risiedono nell’analisi dei fini, ossia degli utilizzatori del bilancio. Il
bilancio sociale contiene le informazioni riguardanti il modo con cui l’azienda opera evidenziandone gli
aspetti valoriali ed etici, tenendo in considerazione il rispetto di alcuni comportamenti, socialmente
responsabili. Il bilancio del capitale intellettuale ha invece l’obiettivo primario di evidenziare il ruolo degli
asset intangibili nelle dinamiche di generazione di valore. In relazione agli utilizzatori, il bilancio sociale ha
come interlocutore privilegiato la collettività come espressione dell’idea che tutti sono potenzialmente
interessati, mentre il bilancio del capitale intellettuale si rivolge ad un pubblico più ristretto e selezionato.
In tal senso si intende divulgare informazioni che sono connesse alla capacità prospettica dell’azienda di
generare valore. In particolare l’intellectual capital report si rivolte principalmente ad azionisti, investitori e
analisti finanziari. Esistono tuttavia numerosi punti di incontro tra il bilancio sociale e il bilancio del capitale
intellettuale quali:
• La valenza dei documenti sia interna che esterna all’impresa;

• Il ruolo di supporto alla gestione: fornendo importanti informazioni rispetto agli assets intangibili o
all’impatto socio-ambientale;
• I contenuti similari di alcune informazioni;
• Il focus sulla responsabilità: entrambi i report sono frutto di un’evoluzione informativa aziendale
definita da un nuovo modo di intendere l’impresa in chiave “corporate social responsability” e dello
sviluppo sostenibile.
L’analisi dei due report evidenzia come le informazioni si presentivo in due diverse chiavi di lettura. Per
esempio nel bilancio sociale le risorse umane sono considerate i destinatari dell’attività di impresa mentre
nel bilancio di capitale intellettuale sono i principali generatori del valore aziendale. ne deriva che il
modello organizzativo che pone al centro dell’organizzazione la funzione compliance è in grado di
ottimizzare:
• Lo sviluppo di un adeguato pensiero strategico;

• Il presidio degli obiettivi e dei valori attraverso una gestione rivolta a migliorare la quantità e
qualità dell’innovazione;
• Il controllo del trade-off tra traguardi ed obiettivi fissati;
• La rendicontazione agli interessati sulla reale utilità sociale;
• La periodica riprogettazione sociale attraverso la revisione di obiettivi, traguardi, strategie, ma
anche valori, visione e missione sociale;
• La meditazione del conflitto tra/con gli interlocutori sociali;
• Il miglioramento continuo di processi, procedure servizi e persone;
• L’incremento della notorietà e miglioramento dell’immagine.
Un sistema che si fonda sul miglioramento continuativo attraverso il coinvolgimento della funzione di
compliance deve essere attivato secondo le seguenti fasi:
• Progettazione preventiva del plan da effettuarsi ogni anno attraverso la stesura ed approvazione da
parte dell’organo di indirizzo del budget triennale ed annuale;
• La gestione quotidiana dei valori, risorse ed obiettivi;
• Il controllo confrontando gli obiettivi e traguardi con i risultati ottenuti;
• La riprogettazione almeno semestrale in sede di budget e redazione del bilancio;
• La rendicontazione consultiva che diventa: strumento di progettazione strategica, di miglioramento
continuativo, di confronto, di dialogo e comunicazione.
Il modo di agire responsabile deve tener conto di tutti gli attori che impattano sull’attività di impresa, che
può tradursi in un miglioramento della gestione e quindi dello stesso “fare banca”. È necessario però
33
definire delle strategie volte a creare un “valore condiviso”, quindi attenzionare tutti gli stakeholder della
banca. Il capitale organizzativo è il risultato delle attività poste in essere dai collaboratori che hanno
l’effetto di trasferire le conoscenze all’interno dell’azienda. Il capitale organizzativo si distingue in:
• Profilo strategico: che comprende condivisione della missione strategica;

• Corporate governance: riconducibile alla qualità della composizione degli organi di governo, gli
equilibri di potere che ne derivano e i meccanismi di interazione, l’efficacia dello SCI;
• Processi: che identificano metodi, procedure e sistemi operativi.
Il capitale umano identifica una ricchezza presente nei singoli individui che appartengono
all’organizzazione. Il capitale relazione indica il valore delle relazioni e collaborazioni con gli stakeholder e
può essere suddiviso in valore dei clienti e valore delle relazioni di rete. Per il capitale intangibile risulta
complesso stabilire l’unità di misura per la quantificazione degli “asset” e ulteriore difficoltà risiede nel
fatto che non si conosce il livello inziale di quella variabile che rende complesso stimarne il valore attuale.
Secondo l’ottica corporate social responsability diviene vitale concentrarsi sulla correttezza dei rapporti con
la clientela, consentendo alla banca di migliorare la capacità di relazionarsi con gli interlocutori ed
accrescendo il proprio valore attraverso un miglioramento reputazionale e sul fronte della sostenibilità.
Una delle definizioni di capitale intellettuale meglio riconosciuta è quella di Thomas Steward, che lo
definisce come “l’insieme di tutte le conoscenze che le persone possiedono e che apportano all’azienda
definendo per la stessa un vantaggio competitivo sul mercato.” La difficoltà però nel definire e individuare il
capitale intellettuale fa sì che risulta più semplice scomporlo, per comprenderne la composizione, in tre
gruppi:
1. Capitale relazionale esterno;

2. Capitale organizzativo interno;
3. Capitale umano.
Il capitale relazionale esterno include tutto il patrimonio di relazioni e connessioni tra l’azienda ei suoi
clienti, la cui gestione contribuisce alla creazione di valore per l’impresa. Il capitale organizzativo interno
comprende tutti gli elementi di rete e di sistema per il buon funzionamento dell’organizzazione stessa. Il
capitale umano è formato dal patrimonio di esperienze, conoscenze e capacità di coloro che lavorano
nell’impresa.
La funzione compliance rappresenta l’integrità aziendale e stimola la tutela dell’etica e della professionalità
nel fare banca tramite la relazione quotidiana con tutti i portatori di interesse, con l’impegno di garantire la
fiducia tra le persone. Questo fa sì che l’intermediario comprenda il reale apporto in termini di benefici
della struttura compliance. La banca che valorizza i processi di compliance è in grado di costruire quel
patrimonio di relazioni che ha portato ad unire le comunità, favorendo anche la crescita economica e
sociale di ampie aree del paese.
Il ruolo della compliance nella pianificazione strategica
La gestione di supervisione strategica è volta allo sviluppo della cultura di compliance in cui è necessario far
emergere e tradurre in valore l’interazione del capitale intellettuale con la parte tangibile. A tal proposito
sono emerse molteplici soluzioni e chiavi di lettura. Una delle più conosciute è la balanced scorecard di
Kaplan e Norton. Questi definirono un modello che spiegasse la visione aziendale attraverso una serie di
indicatori financial e non financial individuando quattro principali prospettive per monitorare l’attività
aziendale:
1. La prospettiva finanziaria;
2. La prospettiva dei clienti;
34
3. La prospettiva dei processi interni;
4. La prospettiva di sviluppo.
Il termine balanced, ovvero bilanciato, sottolinea l’assenza di gerarchia tra le diverse prospettive, tutte
ugualmente importanti ai fini della gestione. La prima prospettiva è quella più tradizionale, incorpora tutti
gli economics finanziari e patrimoniali come il cash flow, misure reddituali quali ROE, ROI e ROS. La
compliance consente un’analisi della prospettiva della relazione con la clientela effettuando una
segmentazione della domanda per individuare i vari gruppi di clienti con bisogni omogenei. Il primo
indicatore da valutare è la quota di mercato ma per comprendere più a fondo il grado di soddisfazione della
clientela bisogna far riferimento ad indicatori field e desk. I field indicators sono definiti attraverso delle
indagini attraverso interviste e questionari mentre i desk indicators sono indicatori più quantitativi,
espressione dei risultati della gestione, secondo la logica che il processo è il momento in cui l’impresa crea
valore e per questo deve essere monitorato continuamente. I tre tipi di processi da monitorare sono:
1. Processi di innovazione;
2. Processi operativi;
3. Processi post vendita.
La prospettiva di sviluppo, o di apprendimento e crescita consente di guardare oltre il breve termine, dove
è importante guardare al grado di coinvolgimento dei dipendenti, alla loro permanenza nonché agli
investimenti effettuati per la loro formazione.
Furono sviluppati altri modelli, anche più efficaci, come “intangible asset monitor” presentato da Karl Erik
Sveiby. Il suo modello si differenzia dal precedente perché presta ancora più attenzione alla cultura della
funzione di compliance, non come strumento di controllo ma come strumenti di sviluppo, inserisce nuovi
indicatori non finanziari e guarda con attenzione alle interazioni dinamiche che avvengono tra gli indicatori
stessi.
Un altro modello diffuso è il “Value reporting”, che definisce quattro elementi:
• Market Overview: l’ambiente esterno all’impresa;

• Value Strategy: la posizione competitiva dell’azienda;
• Managing for Value: gli obiettivi finanziari dell’impresa;
• Value Platform: i drivers del valore dell’azienda.
Per quanto riguarda il market overview bisogna sottolineare che le imprese formano sempre le loro
strategie in base all’ambiente competitivo, all’andamento macroeconomico e in base alle innovazioni
nell’ambito della tecnologia. Per la value strategy la compliance consente di implementare le strategie
dell’organo amministrativo con opportuni presidi e valutazioni. Il value Platform consiste
nell’individuazione e monitoraggio delle determinanti del valore dell’impresa con particolare attenzione
all’innovazione, al capitale intellettuale e alle relazioni con i clienti. Il Meritium project è un progetto
finanziato dalla commissione europea con l’obiettivo di produrre delle linee guida per la misurazione e la
rappresentazione degli intagibles al fine di migliorare il processo decisionale di management e
stakeholders.
La compliance risulta il garante della tutela dal rischio reputazionale. Dopo le crisi è emerso il dibattito tra i
sostenitori della scuola classica (liberisti) e della teoria dell’impresa come individuo socialmente
responsabile. Il dibattito si esprime in funzione di due teorie, quella degli shareholders e quella degli
stakeholders. Il primo filone, ossia quello degli shareholders, si fonda sull’idea che la creazione del valore è
il principio guida della gestione aziendale e determina quindi il principio cardine in sede di efficace
allocazione e valorizzazione del capitale investito, dove l’unico obiettivo è il soddisfacimento dell’interesse
di coloro dai quali il manager ha ricevuto il mandato (azionisti). Secondo la teoria degli stakeholders i
35
manager in qualità di dirigenti, sono gli agenti di tutti gli stakeholder (azionisti, clienti, dipendenti, fornitori,
comunità locale, autonomie governative) e quando assumono decisioni devono considerare gli interessi
legittimi di ognuno di questi. Gli stakeholder sono quindi un gruppo di individui che può influenzare o
essere influenzato dall’organizzazione di impresa. In entrambe le teorie il profitto rimane una finalità
rilevante d’impresa, ma la teoria degli stakeholder pone al pari della sfera economica anche quella sociale,
ambientale ed etica. Un punto cardine di questa prospettiva è quello di apertura al principio di inclusività,
identificando e promuovendo gli interessi e le tematiche sociali, concentrandosi sui punti in comune e non
sulle discordanze con il modello degli shareholders.
A partire dalla metà degli anni novanta si sono affermate nuove modalità per definire il ruolo e le
responsabilità sociali dell’impresa, rispettivamente:
• La prospettiva della cittadinanza d’impresa;

• La prospettiva dello sviluppo sostenibile.
La prospettiva della cittadinanza d’impresa sostiene che le imprese sono equiparabili agli altri cittadini della
comunità e come questi gode di una serie di diritti e di doveri. Da un lato l’impresa ottiene benefici e
risorse dal territorio e deve poter contraccambiare il beneficio nei confronti della restante collettività in
termini di miglioramento della qualità di vita. L’incapacità di svolgere delle funzioni vitali da parte del
governo porta quindi la figura dell’impresa ad avere un importante ruolo pubblico e politico all’interno
della società. La compliance quindi sviluppa e sostiene i temi propri della pianificazione strategica, dove la
questione della sostenibilità è al centro dell’attenzione di una molteplicità di soggetti, diventando un
aspetto rilevante anche in ottica di impresa. In ottica economica è chiaro quindi l’interesse nel definire un
nuovo equilibrio continuo come frutto di molteplici interessi quali economici, sociali, ambientali ed etici
poiché la sostenibilità della vita collettiva è composta da tre dimensioni distinte rispettivamente
economico, ambientale e sociale. Lo sviluppo sostenibile è definito come “lo sviluppo che consente di
soddisfare le esigenze del presente senza compromettere la possibilità delle generazioni future di
soddisfare i loro bisogni.”
Approccio forward looking
La sostenibilità dei modelli aziendali dipende fortemente dalla capacità di internalizzare nella cultura
aziendale le sfide competitive, da affrontare in un contesto economico molto volatile ed instabile. L’accesso
al mercato richiede investimenti e formazione di nuove figure manageriali e professionali, cercando livelli di
efficienza n grado di comprimere i costi operativi. In un contesto dove la gestione del capitale si prospetta
sempre più complessa e richiede un costante allineamento alle sollecitazioni del regulator il ruolo della
funzione compliance nel prevedere le possibili conseguenze in termini di costi e di processi è essenziale. La
reddittività delle banche rimane sotto pressione condizionata dai tassi/ margini bassi e dalla concorrenza
dei soggetti non bancari rende necessario monitorare le seguenti variabili definendo adeguate strategie in
termini di:
• Costi;
• Ricavi;
• Loan pricing.
Un aspetto rilevante è far comprendere al top management l’impatto anche strategico della normativa in
continuo mutamento, poiché queste sono sia fonte di opportunità di miglioramento che di nuovi rischi per
l’intermediario. Sotto il profilo dell’evoluzione del mercato, gli elementi di principale preoccupazione
restano molti: sul fronte corporate resta l’incertezza della dinamica economica dettata dai dazi e rischi
36
geopolitici, mentre emergono criticità anche in relazione alla discontinuità di particolare player come i
piccoli imprenditori, oppure il rialzo dei tassi e le conseguenze.
La sostenibilità dei futuri modelli di business dipende:
• Dalla capacità di cogliere i benefici della digitalizzazione;

• E dalla gestione dei rischi emergenti.
La funzione compliance deve assicurare l’individuazione e la valutazione dei rischi che comportano le
sanzioni legali, perdite finanziarie e di reputazione oltre che curare gli aspetti etici e comportamentali che
l’azienda deve sostenere. L’approccio regolatory compliance deve allora essere considerato un
investimento programmatico. Le banche che hanno optato per le singole soluzioni di presidio del rischio
non potranno ottenere economie di scala e pertanto massimizzeranno i loro costi rispetto a quelle che
hanno preferito un approccio olistico, proattivo e programmatico. Il contenimento dei costi è anche frutto
dell’automazione dei processi. Molti player internazionali si sono resi conto della molteplicità di
contingenze che devono essere fronteggiate, e le stesse stanno investendo nella compliance al fine di
mantenere la sopravvivenza dell’organizzazione, in quanto solo un efficace ed efficiente utilizzo di una
funzione compliance sostenibile comporta per l’azienda un vantaggio competitivo e il raggiungimento della
“best practice”.
La compliance si deve occupare:
• Nell’ambito della corporate governance: di definire le politiche ed i modello di business sostenibile;

• DELLA NFDR: la rendicontazione non finanziaria deve essere rivista, alla luce della crescente
domanda di informazioni societarie su questioni non finanziarie;
• Del framework della gestione dei rischi: gestendo l’impatto del materiale dei rischi ESG sulla
performance aziendale;
• Di comunicazione: ossia di definire e aggiornare le regole di comunicazione.
Nel merito la compliance deve tenere in considerazione i fattori ESG in termini di:
• Introdurre il rischio di sostenibilità;

• Includere i fattori ESG nei processi e nelle politiche aziendali.
Deve inoltre valutare l’adeguatezza dell’inclusione dei fattori ESG nella sezione degli strumenti finanziari
che siano coerenti con le preferenze dei clienti.
L’attività della funzione di compliance nel supporto alla business model analysis deve essere improntata a
sviluppare adeguati controlli sulla qualità dei dati, per comprendere se gli stessi sono esaustivi ed adeguati.
Altro contributo fondamentale della funzione compliance è quello di identificare i possibili elementi di
tensione che il mercato può trasmettere alle singole aree di business al fine di garantire il conseguimento di
una reddittività sostenibile nel medio periodo. La normativa richiede un corretto monitoraggio del rischio IT.
La compliance dovrà cogliere le potenzialità offerte dalle nuove tecnologie facendo riferimento a:
• KRI/KPI;
• Tabeau de bord integrato;
• Unica tassonomia dei processi.
La funzione compliance supporterà il manager nella comprensione dei temi:
• Investimenti in tecnologie;
• Ridefinizione dei modelli di business;
• Modelli operativi;
37
• Stimola progetti innovativi e nuovi scenari di business.
La compliance quindi diventa un attore importante nella definizione dei modelli di business, che vengono
identificati secondo una duplice prospettiva, quella classica, volta al perseguimento della performance, e
quella nuova, dove la compliance guida il cambiamento e definisce nuove logiche della creazione di valore.
In quest’ottica possono essere letti i “progetti pilota” inerenti alle attività di compliance quali:
• Il progetto di machine learning: ossia un progetto per la gestione dei reclami volti a minimizzare le
insoddisfazioni e ottimizzare il rapporto con la clientela;
• Il progetto compliance analytics: uno strumento di supporto attivo alla governance volto ad
analizzare le preferenze dei clienti al fine di ottimizzare le scelte di nuovi prodotti.
Per sostenere la compliance n questo processo evolutivo occorre effettuare un processo di cambiamento
lungo in tutte le aree dell’intermediario coinvolgendo le altre funzioni.
La responsabilità sociale
L’agire di una banca deve tener conto delle caratteristiche sociali ed economiche della comunità nel quale
è inserita e dei relativi bisogni sociali che ne discendono. La compliance ha lo scopo di rappresentare la
produzione e la distribuzione dell’effetto economico dell’attività della banca a favore di tutti i suoi
portatori di interessi, utilizzando il risultato del valore aggiunto. Il risultato del valore aggiunto può essere
analizzato secondo due prospettive differenti:
• La ricchezza prodotta dalla banca;

• La ripartizione tra gli stakeholder interessati all’attività.
L’impresa non è un soggetto a sé stante, ma uno dei principali attori chiavi all’interno del eco-sistema.
L’impresa definisce con clienti, fornitori, dipendenti, comunità locali, dei rapporti sani e duraturi, per
contribuire allo sviluppo economico e sociale. Sintetizziamo i fattori traino che dovrebbe adottare un’impresa
orientata dalla compliance:
• Crescente domanda di qualità: in termini di prodotti, processi, servizi;

• Nuovi standard internazionali e comunitari volti alla sostenibilità ambientale e sociale;
• Necessità di innovazione trasversale nelle imprese;
• Necessità di distinguere e valorizzare il marchio non sono in termini di prodotto ma di cultura
reputazionale e d’impresa;
• Necessità di distinguersi strategicamente dai competitors in termini sia di prestazioni commerciali
che sociali;
• Valorizzazione dei fattori intangibili come capitale umano, relazionale, intellettuale.
Bisogna intendere allora la funzione compliance come il motore dello sviluppo sostenibile, volto a indirizzare
l’impresa ad una gestione più responsabile nei confronti dei molteplici stakeholders. La funzione compliance
deve far sì che il capitale intellettuale, più comunemente conosciuto come “know how”, venga ampliato di
continuo per mantenere una posizione competitiva all’interno del mercato. Questo è possibile solo
attraverso uno spirito di unione e collaborazione. Per responsabilità sociale intendiamo l’insieme di
comportamenti con cui un’organizzazione specifica la propria funzione socio-economica, cioè determina in
concreto la propria funzione sociale, il proprio modello di governo e la propria cultura distintiva, tenendo in
considerazione i fattori di eterogeneità da cui è composta.
38
La centralità della funzione compliance
La banca valorizza la funzione compliance utilizzando nuove tecnologie e nuove professionalità, tenendo in
considerazione che il capitale umano è tra i principali elementi strategici sul quale investire al fine di
rafforzare costantemente la riuscita dimensionale della banca. La funzione compliance deve far riferimento
a determinati “valori-guida” quali:
• Trasparenza: una buona compliance è una funzione che esplicita in modo chiaro la dimensione e la
provenienza delle risorse impiegate;
• Libero accesso: un efficace processo di compliance viene svolto da un meccanismo democratico,
aperto ai vari interessi dei diversi stakeholder;
• Partecipazione: un adeguata promozione della cultura di compliance è quella che presenza un’ampia
condivisione dei vari stakeholder nella scelta e nella realizzazione delle attività;
• Orientamento strategico: una buona attività di compliance è quella dove la distribuzione delle risorse
risulta dall’esplicitazione di una strategia o progetto condiviso;
• Sussidiarietà: una buona funzione di compliance deve contribuire a sviluppare, accrescere e
stimolare l’iniziativa e la partecipazione degli individui nella definizione e nel soddisfacimento dei
loro bisogni.
L’obiettivo generare dell’incontro con i diversi comitati da parte della compliance rende la funzione come
un portavoce dei diversi interessi coinvolti al fine di contribuire alla definizione di un processo condiviso.
CAP. 9 APPLICAZIONI PRATICHE DELLA COMPLIANCE BUSINESS ORIENTED
Casi studio e applicazioni pratiche
La funzione di conformità presiede l’attività secondo un approccio risk based, riguardo al rischio di non
conformità rispetto a tutta l’area aziendale, verificando che le procedure interne siano adeguate a
prevenire tale rischio. I principali adempimenti da svolgere sono:
• Identificazione nel continuo delle normative applicabili e il loro impatto sui processi aziendali;
• Individuazione di idonee procedure volte a prevenire il rischio di non conformità;
• Proporre modifiche organizzative e procedurali volte a mitigare il rischio o a prevenirlo;
• Valutazione ex-ante della conformità alla regolamentazione;
• Prestazione di consulenza agli altri organi aziendali in merito al rischio di non conformità.
Istitutional Protection Schemes
Gli IPS hanno il pieno riconoscimento con l’emanazione del regolamento UE/575/2013 (CRR) dove sono
definiti come “sistemi basati su accordi di responsabilità contrattuale, o su specifiche previsioni di legge, in
forza dei quali, ove necessario, gli enti che vi partecipano si impegnano, a seguito della sottoscrizione di
garanzie reciprocamente concesse, a fornire sostegno patrimoniale e di liquidità ad altri enti aderenti che
dovessero trovarsi in condizioni di difficoltà al fine di evitarne il fallimento.” L’autorità di vigilanza considera
quindi gli IPS strumenti utili a fronteggiare possibili tensioni o situazioni di dissesto evitando che la crisi di
un istituto si propaghi nel sistema dei depositanti e degli investitori. L’IPS deve disporre di una dotazione
finanziaria adeguata e prontamente utilizzabile, costituita da fondi versati o resi disponibili ex-ante, dai
singoli partecipanti in base alla loro complessità e propensione al rischio. Tale organismo dovrà disporre di
39
un adeguato sistema di monitoraggio in grado di valutare nel continuo la situazione economica-
patrimoniale dei membri. L’IPS deve essere in grado di intraprendere delle azioni preventive (early
interventions) per fornire tempestivo supporto ai membri. La violazione dei termini dell’accordo stipulato
tra i membri può essere oggetto di esclusione del membro dal IPS o di rifiuto sostegno in caso di dissesto.
Tutti gli IPS devono pubblicare annualmente una relazione finanziaria comprendente lo stato patrimoniale,
il conto P&L, la relazione sulla gestione e quella sui rischi, svolta o secondo un approccio consolidato o
aggregato. Tra gli innumerevoli vantaggi di adesione al IPS vi è quello del coefficiente zero per le esposizioni
nei confronti degli altri membri dell’IPS, andando quindi a liberare una considerevole parte del RWA.
L’istituto dell’IPS non verrà considerato nel suo complesso una significant (SI) o un istituto di rilevanza
globale o nazionale, tenendo in considerazione per questa classificazione i singoli istituti o gruppi. Nella
definizione del IPS sarà utile attribuire ai singoli membri determinati pesi al fine di valutare le opportunità
reali costituite da tale istituto. Schematizzando vantaggi ed impegni da assumere del IPS avremo:
vantaggi:
• Sostegno patrimoniale e di liquidità ai membri in difficoltà;

• Coefficiente zero su esposizioni verso membri e libera RWA;
• Gli istituti non perdono l’indipendenza e autonomia;
• Miglioramento del rating dei membri per miglioramento condizioni affidabilità;
• Minor costi di provvista sui mercati finanziari dati dal miglioramento rating;
• Aumento competitività;
• Abolizione rischio di concentrazione tra le banche aderenti allo stesso istituto;
• Standard unico per fornitura dei dati: condivisione indicatori, monitoraggio ed analisi;
• Supporto organi di governance per prevenzione della crisi dei membri;
• Alleggerimento dei recovery e resolution plans laddove venisse riconosciuta la sua early
intervention function.
Impegni da assumere:
• Contributi: ex-ante versati annualmente e ex-post qualora si richieda l’intervento in caso di dissesto
di un membro;
• I contributi ex post compaiono come “finanziamento segregato”, registrato a conto economico
come perdita solo se e quando il membro va in default;
• Il contributo è commisurato alla complessità, dimensione e propensione al rischio del membro;
• Ogni aderente deve utilizzare metodologie comuni di monitoraggio.
I macro-obiettivi perseguiti dal IPS sono:
1. Salvaguardare in via diretta la solvibilità e liquidità dei membri;

2. Svolgere attività di valutazione/classificazione e monitoraggio del rischio promuovendo azioni
correttive;
3. Ottenere il riconoscimento della ponderazione nulla sulle esposizioni tra i membri;
4. Tutelare e consolidare l’immagine e la reputazione delle banche aderenti;
5. Integrare la protezione del fondo di garanzia dei depositanti.
In caso di valutazione positiva, al fine di rendere funzionante l’istituto dovrà essere previsto un sistema di
valutazione del rischio banca (SVRB) in grado di definire un rating interno per la classificazione e
monitoraggio delle banche aderenti. Tale modello permette di stimare la probabilità di intervento in caso di
dissesto nei successivi 12/24 mesi. Dovranno poi essere definite un apposito iter in caso di recesso di un
membro. Il monitoraggio svolto dal IPS deve basarsi su tre pilastri:
1. Dati;
40
2. Liquidità;
3. Governance interna.
All’interno del modello SVRB dovranno essere previsti 7 classi/pool rischio/banca e l’attribuzione delle
stesse secondo una serie di variabili. Per il pilastro della liquidità faremo riferimento a indicatori quali LCR e
NSFR. Per far sì che l’istituto permetta un’azione adeguata di prevenzione alla crisi dei membri deve poter
svolgere le seguenti attività:
• Richiesta di informazioni/dati;
• Convocazione CdA/Collegio Sindacale/Alta Direzione;
• Richiesta piano di azione;
• Partecipazione CdA/Assemblea;
• Segnalazione crisi a Banca d’Italia;
• Esclusione banca aderente.
L’IPS può attivarsi con interventi di tipo:
• Obbligatori;
• Facoltativi.
Ambedue gli interventi non possono essere attivati automaticamente dall’IPS ma solo a seguito della
valutazione della situazione complessiva del rischio della banca aderente da parte di un apposito
Organismo centrale presente all’interno dell’Istituto.
Investimenti ESG
La compliance valuta le implementazioni in merito all’applicazione del Regolamento (UE) 2019/2088

relativo all’informativa sulla sostenibilità. La finanza sostenibile, ossia conforme ai criteri ambientali, sociali
e di governance è al centro del processo di rafforzamento richiesto dalla Commissione UE. Nei prossimi
mesi richiedono di essere attuate le seguenti disposizioni:
• REGOLAMENTO UE 2019/2088 Informativa sulla sostenibilità nel settore finanziario;

• CONSOB n.1/20 del 13-3-2020 Prestazione di servizi di investimento e questioni ESG;
• GUIDA BCE SUI RISCHI CLIMATICI ED AMBIENTALI aspettative di vigilanza in materia di gestione
rischi e informativa;
• ORIENTAMENTI UE sulla comunicazione di informazioni di carattere non finanziario con riferimento
ad informazioni sul clima.
Regolamento UE 2019/2088
Il seguente regolamento disciplina i doveri in termini di trasparenza e di informativa per la sostenibilità nel
campo finanziario, definendo quindi obblighi in termini di:
- Trasparenza delle politiche in materia di rischio di sostenibilità;

- Trasparenza negli effetti negativi per la sostenibilità a livello di soggetto;
- Trasparenza delle politiche di remunerazione;
- Trasparenza ed integrazione dei rischi di sostenibilità e caratteristiche ambientali o sociali del
prodotto.
41
CONSOB 1/20 del 13-3-2020
La seguente disposizione definisce gli obblighi in termini di prestazione di servizi di investimento in

relazione ai fattori ESG. È articolato sui seguenti temi:
- Profilatura del cliente: valutare gli elementi non finanziari al momento della raccolta delle
informazioni al cliente acquisendo notizie in merito alle preferenze sui fattori ESG;
- Valutazione di adeguatezza: definire i criteri adottati per la classificazione dei prodotti sostenibili;
- Product Governance: definire se un determinato prodotto può essere concepito con caratteristiche
particolari per conseguire obiettivi di investimento specifici come investimento verde, etico etc.
GUIDA BCE SUI RISCHI ESG
La Bce ha pubblicato a novembre 2020 una guida sui rischi climatici ed ambientali “Aspettative di vigilanza
in matria di gestione dei rischi e informativa”. La normativa si applica a tutti gli istituti, compresi quelli LSI
secondo il principio di proporzionalità. Il documento prendere in considerazione le aspettative di vigilanza
relative a:
- Modelli imprenditoriali e alla strategia aziendale;

- Governance e alla propensione al rischio;
- Gestione dei rischi;
- Informazioni essenziali.
Tale guida deve essere analizzata congiuntamente alla guida relativa al processo ICLAAP.
Trasparenza delle imprese nelle dichiarazioni di carattere non finanziario
l’UE ha aggiornato i propri orientamenti rispetto alla comunicazione di informazioni di carattere non
finanziario con riferimento alle informazioni relative al clima (2019/C 209/01) definendo gli obblighi in
materia di trasparenza comunicando:
- La quota di fatturato derivante da investimento in attività considerate ecosostenibili;

- La quota di costi in conto capitale e operativa relativa a processi o ad attività economiche
considerate ecosostenibili.
Analisi della normativa in materia di finanza sostenibile
In tale ambito la Commissione Europea ha avviato il piano di azione “Finanziare la crescita sostenibile”
individuando specifiche priorità per il settore finanziario. Sono molteplici le disposizioni a cui far riferimento
sia a livello di gestione del rischio sia in termini di trasparenza e comunicazione che rispetto all’attività di
investimento o alla profilatura del cliente. Nel settore dei servizi di investimenti la normativa ESG ha
individuato le seguenti priorità:
- Definire quali prodotti possono essere considerati sostenibili;

- Chiarire gli obblighi degli investitori istituzionali definendo che devono integrare i temi di
sostenibilità nelle loro attività;
- Introdurre standard comuni per valutare l’impatto ambientale degli investimenti;
- Inserire temi sociali e ambientali tra gli elementi di cui gestori e consulenti devono tener conto nei
rapporti con la clientela;
- Fornire adeguate informazioni per gli strumenti finanziari sostenibili, integrando fattori ESG;
- Rilevare in sede di profilatura le eventuali preferenze dei clienti per i temi ESG;
- Fornire una relazione al cliente che soddisfi le sue preferenze ESG.
42
Alla luce di quanto detto possono essere individuati diversi ambiti di applicazione su cui impatta
significativamente l’integrazione di questi fattori:
- Corporate governance: integrazione dei criteri ESG nei processi decisionali, dello SCI e nei processi
di formazione del personale;
- Classificazione dei fattori ESG: definendo l’utilizzo dei criteri ESG;
- Product governance e target market: inclusioni fattori ESG nell’offerta e test prodotti;
- Distribuzione prodotti e adeguatezza;
- Trasparenza informativa;
- Controlli.
La normativa ESG entrerà pienamente in vigore entro il 31-12-2022, scadenze entro la quale è previsto che
tutti i presidi dovranno essere implementati.
CAP. 10 LA FUNZIONE COMPLIANCE E LE SOLUZIONI REGTECH
Il Fintech
Negli ultimi tempi la tematica del Fintech ha assunto sempre più rilevanza tra le authority e intermediari
finanziari. Le forme di tecnologia più avanzate hanno dato vita ad una serie di agenti e di prodotto di natura
dirompente che hanno inciso sull’operatività degli intermediari, portando ad un graduale processo di
disintermediazione e all’adizione di nuovi modelli di business. Il legame tra tecnologia e finanza si
concretizza nel fenomeno del Fintech, che può essere così descritto “l’innovazione finanziaria resa possibile
dall’innovazione tecnologica, che può concretizzarsi in nuovi modelli di business, processi o prodotti,
producendo un effetto determinante sui mercati finanziari, sulle istituzioni o sull’offerta di servizi.”
In termini generici per Fintech si intende l’utilizzo della tecnologia per fornire nuovi servizi finanziare e
migliorare quelli già esistenti con l’obiettivo di ridurre i costi del servizio e migliorare il benessere degli
utenti. Le banche e gli intermediari finanziari si distinguono dalle industrie Fintech per il modello di
business, poiché gli ultimi sono prevalentemente degli agenti che mettono in contatto le due controparti
ricavandone delle commissioni. Le diverse forme di tecnologia associate al Fintech sono presenti nei
tradizionali intermediari per i seguenti servizi/aree:
• Settore del credito e della raccolta;

• Pagamenti, monete digitali e clearing;
• Servizi e attività di investimento (incluso il trading);
• Assicurazioni.
Per quanto riguarda il settore del credito il servizio Fintech si associa generalmente a delle piattaforme
elettroniche che hanno l’obiettivo di creare un rapporto “piattaforma-cliente” basato su uno scambio di
notevoli volumi di informazioni. Queste piattaforme si basano sul modello “peer-to-peer lending”, ovvero
un sistema di micro prestiti online direttamente tra privati, che determina come conseguenza una
disintermediazione nel processo di erogazione dei mutui e dei prestiti. All’interno del settore credito ha
assunto notevole rilevanza anche il fenomeno del “crowdfunding”. I crowdfunding sono dei siti web che
consentono l’interazione tra i fundraiser e un ampio pubblico (crowd). I fundraiser sono coloro che
rappresentano il progetto da dover finanziarie e sono tenuti a pagare una commissione alle piattaforme
qualora il finanziamento andasse in porto. Sono diverse le tipologie di crowdfunding esempio:
• Equity;
43
• Rewards;
• Per beneficenza;
• Condivisione dei proventi;
• Con titoli di debito;
• Modelli ibridi.
Un altro settore che è stato ampliamente influenzato dalla Fintech è stato quello dei pagamenti, in
particolare con la Direttiva Europea 2366/2015 Payment service Directive, che è stata concepita con lo
scopo di realizzare un mercato europeo di pagamenti al dettaglio omogeneo, efficiente e sicuro, prevede
che, accanto alle banche e agli istituti di moneta elettronica possano agire i PISP. I PISP, payment initiation
service providers, sono terze parti che gestiscono in maniera autonoma i servizi di pagamento online, senza
necessità di usare un portale bancario per le transazioni. Nelle novità introdotte dalla direttiva ci sono
anche i AISP (account information services providers) i quali rendono disponibile al cliente le informazioni
riguardo i movimenti e le disponibilità presso i conti correnti posseduti in diversi istituti di credito. Le
banche, oltre che essere soggette sempre di più al rischio di disintermediazione, sono state chiamate ad
adottare misure di sicurezza informatica al fine di realizzare uno scambio di informazioni adeguato, sicuro e
costantemente aggiornato. Anche il settore dei servizi e della consulenza è stato influenzato dalle nuove
tecnologie, ad esempio:
- Nuove piattaforme di trading online;

- Consulenza specializzata attraverso robo-advisory;
- Strategie di portafoglio più efficienti attraverso l’utilizzo di machine-learning.
Lo sviluppo della Fintech ha favorito l’entrata di nuovi competitors e start-up ad alto contenuto tecnologico
nel settore dell’intermediazione. Le motivazioni della loro entrata sono molteplici:
- Gestione più rapida e sistematica dei dati;

- Operazioni standardizzate con conseguente riduzione dei costi;
- Possibilità di operare in un contesto meno regolamentato rispetto al contesto tradizionale;
- Possibilità di finanziare settori esclusi dal sistema tradizionale.
Alla luce dell’entrata di questi competitors le banche, negli ultimi anni hanno definito strategie tra loro
differenti per poter rimanere i leader del settore dei servizi. Le strategie utilizzate sono essenzialmente
quattro:
1. Partnership con le nuove start-up Fintech;

2. Investimento in nuove start-u Fintech con fondi di venture capital o tramite acquisizione diretta;
3. Collaborazione con altre banche per sviluppare nuovi prodotti IT;
4. Sviluppo internamente di alcune soluzioni tramite investimenti in digitalizzazione e IT.
Nel biennio 2021-2022 gli investimenti in Fintech ammonta a 530 milioni. Il 46% degli intermediari ha
almeno un rapporto con un’impresa Fintech e nel 71% dei casi gli accordi sono connessi a specifiche
iniziative sviluppate dall’intermediario. La partnership sono volte all’innovazione nelle rispettive aree:
- Area del credito;

- Area della raccolta del risparmio;
- Area del business operations;
- Area dei pagamenti.
Nell’area credito si distinguono le collaborazioni destinate a sviluppare modelli di credit scoring e mobile
banking; nei pagamenti i progetti riguardano i wallet digitali e i trasferimenti peer to peer.
44
Quando si parla di InsurTech si fa riferimento a tutto ciò che riguarda l’innovazione tecnologica nel settore
assicurativo. L’InsurTech ha una rilevanza notevole poiché il mercato assicurativo è estremamente
regolamentato anche più di quello bancario.
Il Regtech
Per Regtech intendiamo il Regulatory Technology, quindi si fa riferimento a degli strumenti tecnologici utili
ai regulators e alle aziende per velocizzare, efficientare e rendere meno costoso i processi di
regolamentazione e compliance. Per essere definita Regtech, un’azienda deve avere come core business
almeno uno di questi servizi:
- Anti-money laundering (AML);

- Know Your Customer (KYC);
Risk Management;
- Reporting;
- Compliance.
Mentre il Fintech ha un focus prevalentemente finanziario, il Regtech ha il potenziale per l’applicazione in

vista di contesti come il monitoraggio delle società anche per la conformità ambientale. Per quanto
riguarda i clienti delle aziende Regtech abbiamo:
- Regulators;
- Istituzioni finanziarie;
- Imprese;
- Fornitori di servizi.
Le società Regtech vendono il loro prodotto/servizio alle autorità di regolamentazione, offrendo loro la
possibilità di facilitare l’analisi dei dati per effettuare proiezioni sulle tendenze finanziarie future. Questi
software sono indirizzati non solo ai regolatori ma anche a imprese e fondi investimento che devono
svolgere funzioni compliance, RM al fine di controllare e mitigare il rischio operativo o di conformità.
Il Regtech può essere visto come la regolamentazione dei prodotti del Fintech, della blockchain o la
regolamentazione delle start-up. Il Regtech ha l’obiettivo di utilizzare la tecnologia per aiutare gli attori a
rispettare le normative in modo più efficace e superare gli ostacoli della regolamentazione per favorire la
nascita di nuove tecnologie. Il Regtech può svolgere un ruolo fondamentale per quanto riguarda la
regolamentazione delle criptovalute, poiché queste sono asset molto volatili utilizzati come strumenti
speculativi per cui ad oggi non vi è un’adeguata regolamentazione. Nel 2019 le aziende del Regtech hanno
raccolto il 4,9% degli investimenti in Fintech. Questo ci fa comprendere come il Regtech cambierà il
mercato, definendo molteplici vantaggi ma anche taluni rischi. A livello corporate alcune società stanno
utilizzando strumenti tecnologici per ridurre la necessità per gli esseri umani di condurre manualmente
complesse analisi in rete. Il vantaggio di questi sistemi è che riescono ad elaborare enormi quantitativi di
dati nel tempo e nello spazio. Qui analizzeremo i punti di forza, di debolezza, le opportunità e le minacce
del progetto:
- PUNTI DI FORZA: generà esternalità positive per la funzione compliance, maggiore efficienza nei
processi di analisi controllo e gestione dati, maggiore precisione nel trattamento dei dati;
- PUNTI DI DEBOLEZZA: necessità di incrementare il know-how tecnologico degli addetti ai lavori;
- OPPORTUNITÀ: possibilità di ingressi in nuovi mercati, potenzialmente applicabile a tutti gli
intermediari, favorisce l’operatività nell’era del digitale;
- MINACCE: possibilità di hackeraggio di dati sensibili, rischio che i programmatori interpretino male i
requisiti normativi, struttura italiana pesante a livello burocratico.
45
Uno dei temi più discussi è l’esigenza di formare un personale capace di utilizzare queste nuove tecnologie
e che possieda nuove skills e nuove modalità di approccio al lavoro. La nuova classe manageriale dovrà
essere formata da dirigenti con elevate competenze tecnologiche e conoscenze delle tematiche riguardanti
la regolamentazione degli intermediari. Le tecnologie utilizzate nell’industria Regtech sono molteplici, ne
elenchiamo alcune:
- NPL, Machine Learning e AI;

- Sviluppo applicativi;
- Cloud Computing;
- Big Dara Analytics.
Nel 2021 la tecnologia Regtech si è indirizzata particolarmente verso azioni di:
• Individuazione frodi;
• Stima della domanda di mercato di beni e servizi;
• Assistenti virtuali e chatbot.
Il machine learning consente di addestrare un modello per far sì che esso restituisca in output un risultato
desiderano, in maniera del tutto automatica. NPL, acronimo di Naturale Language Processing, riguarda
invece l’interazione tra computer e linguaggio umano, come ad esempio il controllo ortografico, Alexa, Siri.
Il Cloud Computing è definito come il complesso di operazioni di distribuzione delle risorse IT tramite
internet e permette di accedere a servizi tecnologici quali archiviazione e database e calcolo.
I Big Data Analytics (IBM) danno la possibilità di utilizzare tecniche avanzate per raccogliere ed elaborare i
propri dati e identificare nuove opportunità di business.
Caso studio: Regtech Open Project, gestione di Loss Data Collection
L’utilizzo della soluzione di LDC consente di apportare ai diversi stakeholder e alle funzioni di controllo
diversi benefici quali:
• Efficientare l’intero processo di raccolta e di gestione dei dati di perdita operativa;

• Garantire accuratezza, completezza, coerenza e tracciabilità dei dati riducendo i rischi di errore;
• Fornire ai singoli utenti una maggiore autonomia nella gestione dei dati di perdita con minor sforzo;
• Migliorare la gestione delle informazioni favorendo al contempo una valutazione esaustiva;
• Accelerare e migliorare il processo decisionale dell’organizzazione in materia di rischi operativi;
• Migliorare la struttura dei dati e le logiche di aggregazione delle informazioni;
• Garantire la capacità di soddisfare tempestivamente le richieste dell’autorità di vigilanza.
Il Suptech
All’interno dell’industria del Regtech vi è una nicchia di mercato caratterizzata dalle tecnologie a supporto
dell’innovazione finanziaria di cui si servono in particolar modo le authorities per supervisionare l’attività
degli intermediari. L’uso del Suptech può agevolare il regolatore a potenziare le capacità di supervisione e
analisi dei trend e degli scenari macroeconomici. Sia Banca d’Italia sia CONSOB si stanno adoperando
affinché vengano valutate delle eventuali applicazioni di questa nuova tecnologia. Il Suptech per svilupparsi
efficientemente richiede che alla guida degli esperti in gestione dei rischi, figure come il RG o la FC. In
assenza di queste figure le Suptech non possono progredire con una crescita fertile. Un ruolo importante in
questo ambito è definito dai data scientists che lavorarono con le autorità di vigilanza e creano gli
strumenti più adatti per il contesto normativo di riferimento. Il costante dialogo tra supervisor e
sviluppatori fa si che lo sviluppo di nuovi software soddisfi le esigenze dei primi. Uno dei vantaggi del
46
Suptech è sicuramente il miglioramento nella raccolta dei dati. Nel migliorare il processo di raccolta le
autorità si sono servite sia di tecnologie push che pull. Le prime si riferiscono a dati predefiniti forniti
dall’entità regolamentata al regolatore, le seconde consentono all’autorità di attingere dati direttamente
dalla supervised entity. Le tre attività principali all’interno della gestione dei dati sono:
• La convalida: si riferisce ai controlli di qualità relativi alla coerenza, correttezza e completezza dei
dati rispetto alla normativa;
• Il consolidamento: riguarda l’aggregazione dei dati provenienti da più fonti e in formati diversi;
• La visualizzazione: prevede la presentazione delle informazioni in un formato facilmente leggibile
dall’utente.
Con l’utilizzo della Suptech sono stati riscontrati molteplici vantaggi riguardanti il miglioramento delle
capacità di rilevamento dei dati, nella lotta alla corruzione nei casi di insider trading, riciclaggio di denaro,
frode, finanziamento al terrorismo, comportamenti anticoncorrenziali. I rischi che possono emergere da
questi software risiedono nell’ambito della privacy o dei rischi legali che possono nascere dall’assunzione
sbagliata dei dati, che quindi si concretizzano in danni di reputazione, mancata trasparenza o risultati falsi.
CAP 11. I CONTROLLI DELLA VIGILANZA EUROPEA E LE SANZIONI

AMMINISTRATIVE: MODELLI A CONFRONTO
Le ragioni della creazione dell’Unione Bancaria Europea: compiti e responsabilità tra BCE e ANC
Il mercato unico è entrato in vigore nel 1993 ed è stato creato per consentire ad ogni cittadino europeo di
“approfittare” dei vantaggi che derivano dall’opportunità di poter vivere, lavorare, trasferirsi, studiare,
produrre, vendere ed acquistare in qualunque paese membro senza limiti e vincoli di sosta. Nel corso degli
anni il mercato unico ha progressivamente eliminato molti degli ostacoli che condizionavano la libera
circolazione delle persone, delle cose, dei servizi e dei capitali. Queste sono le quattro libertà fondamentali
sancite dall’introduzione del mercato unico nonché le sue fondamenta. L’Unione Bancaria ha rappresentato
un altro traguardo importante, volta ad assicurare la stabilità finanziaria dell’area Euro, che si basa su tre
pilastri:
1. MUV: Meccanismo unico di Vigilanza;

2. SRM: Meccanismo di risoluzione unica delle crisi;
3. Schema di garanzia dei depositi.
Nel 2014 è entrato in vigore il MUV, che è il sistema di vigilanza Europeo composto dalla BCE e dalle
autorità di vigilanza nazionali (BN). Le principali finalità sono salvaguardare la sicurezza e la solidità del
sistema bancario comunitario ed accrescere l’integrazione e la stabilità definendo un sistema normativo e
di vigilanza omogeneo per tutti gli intermediari. Le attività di vigilanza sono svolte dalla BCE per le banche SI
e dalle ANC per le LSI. Le decisioni in materia di intermediazione dell’area Euro sono prese dal consiglio
Direttivo della BCE, dove vi partecipa il presidente e i diversi governatori degli stati membri. Banca d’Italia è
rappresentata dal governatore e da un membro del Direttorio. Alla BCE spetta:
• Verifica del rispetto delle regole prudenziali;

• Valutazione periodica della situazione degli intermediari;
• Interventi di vigilanza;
• Conduzione degli stress-test.
47
La cooperazione tra BCE e AIN è essenziale al fine di definire una corretta attività di supervisione dettata dal
MUV. È necessario che la vigilanza sia condotta in modo uniforme secondo il principio già citato di
proporzionalità. Prima di attivare il meccanismo di vigilanza unico sono state condotte delle analisi sui
principali istituti bancari per comprendere la loro reale situazione finanziaria e patrimoniale. È importante
far riferimento alla “Comprehensive assessment” ossia valutazione globale, un’analisi svolta dalla BCE per
comprendere la qualità degli attivi della banca (AQR Asset quality review) e la capacità di mantenere un
grado adeguato di capitalizzazione e liquidità con l’introduzione degli stress test. A fine dei tre test (AQR,
Stress test su scenario di base e su scenario sfavorevole), la BCE ha fornito un numero finale, il cosiddetto
shortfall ovvero il capitale a copertura mancante. L’ammanco di capitale definisce che gli intermediari
analizzati avrebbero dovuto redigere un piano per l’integrazione del capitale in 9 mesi (6 se il deficit
riguardava le AQR). L’AQR sullo scenario base deve essere l’8% del RWA (CET1%+TIER1%+TIER2%), mentre
in condizioni stressed pari o superiore al 5,5%.
La funzione sanzionatoria delle autorità di vigilanza secondo il pacchetto CRR/CRD IV
La necessità di definire non solo un quadro di vigilanza uniforme, bensì anche un quadro sanzionatorio
omogeneo nell’Unione si è concretizzata con l’introduzione del pacchetto CRR/CRD IV. Le novità definite in
sede UE si sono sviluppate secondo una duplice prospettiva, da un lato, la creazione di nuove autorità per
l’esercizio comune della vigilanza, e dall’altro, l’introduzione di efficaci strumenti di risoluzioni comuni in
caso di crisi. La Commissione Europea nel 2010 aveva posto l’attenzione sulla scarsa omogeneità delle
sanzioni nel settore finanziari:
• a parità d’infrazioni, il livello delle sanzioni amministrative pecuniarie variava notevolmente da

paese a paese;
• In alcuni paesi mancavano delle sanzioni diverse da quelle pecuniarie come la revoca
dell’autorizzazione delle attività;
• Le differenze erano notevoli anche in termine di somma delle sanzioni;
• Molti paesi prevedevano sanzioni amministrative o penali per il medesimo reato.
Da qui nasce l’esigenza di garantire maggior convergenza tra i sistemi sanzionatori degli Stati membri.
L’introduzione della CRR/CRD IV in ambito sanzionatorio ha l’obiettivo di armonizzare i regimi
sanzionatori dei singoli stati membri, ritenendo che sanzioni divergenti e non adeguate siano
insufficienti a prevenire le violazioni per le quali sono previste. LA CRD IV definisce un articolato
apparato di sanzioni amministrative per assicurare l’osservanza degli obblighi della stessa CRR/CRDIV.
Le sanzioni pecuniarie devono tendere ad annullare il vantaggio che i responsabili possono trarre dalla
violazione, esercitando così un concreto effetto deterrente di condotte illecite da parte degli operatori.
Così come gli altri provvedimenti sanzionatori non finanziari, hanno lo stesso carattere repressivo e
dissuasivo. Agli Stati membri inoltre sono concessi di inasprire le sanzioni amministrative pecuniarie o
di prevederne aggiuntive, così come introdurre sanzioni penali. Il MUV prevede di definire delle
sanzioni efficaci, proporzionate e dissuasive. A tutela del rispetto delle normative i poteri sanzionatori
amministrativi sono stati concessi anche ai AIN, che definiranno le sanzioni in collaborazione con la
BCE. La ripartizione dei poteri sanzionatori si basa su molteplici criteri, non solo secondo il principio
della proporzionalità.
Le attività di controllo di Banca d’Italia
A seguito delle innovazioni introdotte dalla direttiva CRD IV, in relazione alle violazioni commesse dopo
il 1/6/2016 può irrogare sanzioni amministrative a carattere pecuniario, alla società o agli enti, alle
persone fisiche o giuridiche, Banca d’Italia. Questo potere è complementare alle altre attività di
48
vigilanza e concorre a esercitare un’azione deterrente nei confronti di comportamenti illeciti. Banca
d’Italia elabora e interpreta molteplici informazioni, tenendo sotto controllo la rischiosità e
l’adeguatezza patrimoniale. La legge prevede che, al fine di tutelare i depositanti, l’autorità di vigilanza
può adottare un intervento precoce, inclusa la richiesta di attuazione dei piani di risanamento, o la
rimozione di alcuni membri del CdA o di più componenti della Dirigenza, al fine di rimuovere le
irregolarità riscontrate ed attuare soluzione nell’interesse dei depositanti. Ai controlli cartolari svolti
dalle banche centrali nazionali e dalla BCE, che svolgono attività di vigilanza informativa, basata su
informazioni e documenti acquisiti attraverso segnalazioni statistiche e audizioni degli esponenti
aziendali per verificare il rispetto delle normative prudenziali in termini patrimoniali, di liquidità e di
requisiti organizzativi si affiancano i cosiddetti controlli ispettivi. I controlli/accertamenti ispettivi sono
definiti secondo piani periodici, sulla base delle conseguenze emerse in seguito all’analisi cartolare.
Sono dirette a verificare la correttezza delle informazioni e dei dati forniti dagli intermediari e
consentono un esame più approfondito sul profilo organizzativo. L’ispezione ha due fondamentali
obiettivi:
• Testare l’affidabilità delle informazioni e delle segnalazioni inviate alle autorità di vigilanza;
• Acquisire informazioni, soprattutto di natura qualitativa, non gestibili con le segnalazioni.
L’ispettore è un pubblico ufficiale tenuto al segreto d’ufficio, riferisce solo al Governatore le irregolarità,
anche se sono rilevanti dal punto di vista penale. Le tecniche ispettive si dividono in quattro categorie:
1. Raccolta, verifica e analisi delle informazioni;

2. Target interviews;
3. Walk-trough;
4. Campionamento.
Mentre le tipologie di ispezioni sono:
• Per cadenza: ordinarie e straordinarie;

• Per ambito di indagine: spettro esteso, mirante, follow-up;
• Per tipologia di intermediario: intermediari SI, LSI ed altri.
Il processo sanzionatorio della Banca d’Italia
La CRD IV ha definito importanti innovazioni normative in sede di sanzioni. A livello primario questa ha
revisionato il TUB e il TUF, a livello secondario ha revisionato il provvedimento di BdI del 18/12/2012. Per le
banche SI ricordiamo che è direttamente responsabile anche in sede di sanzioni la BCE, ed andranno
applicate alle stesse le disposizioni del regolamento e non quella definita da BdI. La procedura di BdI si
applica invece a tutti i casi di competenza delle ANC, o in quegli ambiti di specifica competenza
dell’ordinamento italiano. La portata innovativa della Direttiva è riscontrabile in tre materie specifiche:
1. Amplia i destinatari delle sanzioni amministrative dalle sole persone fisiche alle persone giuridiche;
2. Introduce i limiti massimi per le sanzioni pecuniarie: 10% fatturato per P.G. e 5 milioni per P.F.;
3. Introduce misure sanzionatorie di natura non patrimoniale.
Il processo sanzionatorio è composto da otto fasi:
1. Accertamento della violazione;

2. Contestazione delle violazioni;
3. Presentazione delle controdeduzioni ed eventuale audizione del personale;
4. Valutazione del complesso degli elementi istruttori;
5. Proposta al direttorio di irrogazione delle sanzioni o di archiviazione del procedimento;
49
6. Trasmissione proposta agli interessati e eventuale presentazione di ulteriori osservazioni al
Direttorio;
7. Adozione del provvedimento sanzionatorio o archiviazione del procedimento da parte del Direttorio;
8. Notifica e pubblicazione del provvedimento.
La fase di accertamento delle violazioni presuppone che l’AdV abbia acquisito elementi necessari a
verificare l’effettiva sussistenza di una violazione, che se confermata apre la fase di contestazione.
La fase di contestazione segna l’inizio del procedimento sanzionatorio con l’invio della lettera di
contestazione entro 90 giorno dall’accertamento. La lettera deve contenere:
• La descrizione dell’irregolarità;
• Il riferimento all’accertamento ispettivo;
• L’elenco delle disposizioni violate;
• Sollecito per far prevenire eventuali controdeduzioni.
La banca può presentare entro 30 giorni dalla ricezione della lettera le sue controdeduzioni, espresse in
maniera ordinata, sintetica e seguendo l’ordine della lettera di contestazione. Il complesso degli elementi
istruttori viene analizzato da un’unità specifica di BdI e una volta esaminati vengono proposti al Direttorio
per l’irrogazione della sanzione o per l’archiviazione. La CRD IV introduce una nuova fase procedurale (6),
riservata ai soggetti interessati che abbiano partecipato alla fase istruttoria mediante presentazione di
controdeduzioni o audizione del personale. I soggetti legittimati hanno la facoltà, entro 30 giorni dalle
osservazioni inviate al Direttorio, di presentare le loro osservazioni che possono avere ad oggetto solo i fatti
determinati nel corso dell’istruttoria e non nuovi fatti. A seguito i contenuti verranno nuovamente
predisposti al Direttorio che adotterà il provvedimento o lo archivierà, notificando e pubblicando il
provvedimento.
La probabilità di essere sanzionati: modello di misurazione MRSV.
Il modello MRSV (Modello per la misurazione del rischio Sanzione da parte delle Autorità di Vigilanza) è
frutto di una complessa ricerca nata nel 2010 i cui principali obiettivi sono stati:
• Indagare le motivazioni alla base dell’attività sanzionatoria;

• Studiarne gli effetti sulla performance degli intermediari sanzionati;
• Fornire benchmark alla governance delle banche;
• Misurare il rischio compliance;
• Misurare efficacia delle sanzioni e della vigilanza.
Il modello si pone come uno strumento innovativo per la stima, la prevenzione e gestione del rischio di
compliance e studia, attraverso le sanzioni, l’efficacia della vigilanza e l’adeguatezza dei provvedimenti
irrogati. L’architettura del modello si basa su quattro principali componenti:
1. Banca dati delle sanzioni (sia dati qualitativi che quantitativi);

2. Dati di bilancio;
3. Informativa pubblica;
4. Modello econometrico previsionale.
Le informazioni per gli intermediari possono rappresentare uno strumento fondamentale per comprendere
al meglio le indicazioni della vigilanza e quindi ottimizzare la loro struttura organizzativa. L’architettura del
modello è formata da elementi in continua interazione tra loro, che consentono al modello previsionale di
poter valutare dinamicamente nel tempo il rischio compliance, modificandolo in conseguenza della stima e
50
della probabilità di sanzione. L’obiettivo principale è quello di tracciare e tenere aggiornato lo scenario
normativo di riferimento. Le interrogazioni della banca possono essere su base annua. In relazione ai dati di
bilancio, il modello MRSV riesce a selezionare automaticamente gli indicatori di bilancio in base alla loro
correlazione con il rischio sanzione. All’inizio il modello di maggiore rilevanza era il modello CAMELS
(utilizzato dal supervisor americano ancora oggi). L’algoritmo operativo del modello non consente di
focalizzare l’attenzione sui singoli indicatori utilizzati bensì sulle macroaree aziendali di riferimento.
All’interno di queste il modello sceglierà gli indicatori di maggior significatività. I principali output del
modello sono:
• Calcolo della probabilità della sanzione;

• Calcolo dell’ammontare della sanzione.
Lo strumento di stima proposto si basa su due assunzioni principali:
• L’indipendenza delle osservazioni tra gli intermediari nel tempo;

• L’indipendenza delle variabili esplicative dell’errore causale.
Il calcolo della sanzione avviene secondo un’equazione di funzionamento che presenta i rispettivi
parametri:
- X: variabili di bilancio;
-  coefficiente stimato attraverso lo stimatore logit panel applicato ai dati di bilancio;
-  caratteristica non osservabile della banca;
-  errore;
-  variabile dummy (caratteristiche stabili ed invariate della banca nel tempo come la
specializzazione).
Sanzione= (X*)+++
Il modello prevede una soglia di errore che incide sulla bontà previsionale aiutando gli sviluppatori a
determinare come l’accuratezza del modello tenda a variare nel tempo. Per la probabilità di sanzione gli
input richiesti sono essenzialmente:
- L’intermediario;
- Possibili incrementi e decrementi delle variabili di bilancio;
mentre per l’ammontare della sanzione gli input richiesti sono:
- L’intermediario;
- Il numero di sanzioni che si prevede vengano irrogate;
- L’autorità di vigilanza erogante.
Dopo analisi di backtesting effettuate il modello garantisce un’accuratezza del 100% su base annua e 96,5%
su base triennale, mentre l’errore medio definisce un’accuratezza del 96,5%.
Il modello CAMELS: confronto tra Europa ed America
Il modello CAMELS è tutt’ora in uso in America. È un modello che rappresenta una delle best practice
internazionali per il rating system degli intermediari finanziari, utilizzato dalla FED e dalla FDIC. L’acronimo
del modello sintetizza i sei punti chiave a cui le autorità di vigilanza fanno riferimento per definire il loro
rating finale, rispettivamente:
1. Capital adeguacy;
51
2. Asset quality;
3. Management;
4. Earnings;
5. Liquidity;
6. Sensitivity.
Il capital adeguacy, o adeguatezza patrimoniale, è l’elemento del modello che misura la capacità della
banca di gestire le proprie perdite e di adempiere a tutti i suoi obblighi nei confronti della clientela sena
cessare le proprie attività. Misura dunque la conformità del capitale dell’ente rispetto alla normativa
sull’importo minimo di capitale. La valutazione delle autorità deve essere sia su base attuale che
prospettiva. Un indicato molto utilizzato è il CET1 ratio o il TIER1 ratio.
L’asset quality valuta la qualità delle attività di una banca, cercando dunque di definire la performance degli
assets detenuti. Un ratio molto utilizzato è “(GROSS NON-PERFORMING LOANS)/GROSS ADVANCES”.
Attraverso il parametro del management si cerca di verificare l’efficacia della gestione del top management
e dei dirigenti nel far fronte agli stress finanziari.
Nella macro area dell’Earnings si cerca di misurare la capacità dell’intermediario di creare rendimenti che
possano garantire lo sviluppo e la sopravvivenza dell’intermediario.
L’area della liquidity invece è volta a misurare la capacità dell’intermediario di essere solvibile e
adempiente nei confronti dei suoi creditori, fronteggiando adeguatamente il rischio di liquidità connesso
con il rischio di tasso di interesse del portafoglio di banking.
Nell’area della sensitivity si controlla la sensibilità della banca nei confronti delle mutevoli condizioni di
mercato e si stima attraverso l’uso del coefficiente beta.
Queste macro aree sono collegati a paniere di indicatori che tendono a cambiare di anno in anno in
funzione dell’evoluzione della normativa o di mutamenti del contesto. Il cambiamento non è automatico,
ma quindi frutto della cooperazione di più specialisti che di volta in volta rivisitano il modello e ne
verificano la nuova capacità predittiva. Il modello MRSV a differenza del CAMELS ha il vantaggio della
dinamicità, ossia il cambiamento è completamente automatizzato nelle procedure di sostituzione e
possiede una reportistica di errore. Ancora però in Europa non esiste un modello di previsione ex-ante. Lo
stesso processo SREP somiglia al sistema CAMELS. Per quanto riguarda l’Europa è stato dimostrato come
persista un problema in termini di opacità dei bilanci bancari e soprattutto, dell’azione di supervisione. Se i
mercati da un lato non sono stati capaci di anticipare i risultati degli stress test, dall’altro hanno reagito
tanto alle informazioni risultati dagli stessi. Esiste quindi un trade-off tra riservatezza e grado di stabilità
sistemica. A senso inverso, negli Stati Uniti il modello CAMELS invece rappresenta un modello trasparente
per l’autovalutazione di tutte le istituzioni finanziarie e permette loro di eseguire valutazioni sia prima che
dopo gli interventi d vigilanza. In questo modo l’intermediario raggiunge un grado di consapevolezza ex-
ante il controllo della AdV così da implementare le azioni operative e gestionali a copertura delle aree in
dissesto. In conclusine il modello MRSV vuole porsi come utile strumento integrativo, volto ad aiutare sia gli
intermediari sia gli organi di vigilanza nel ridefinire le strategie ed obiettivi nel corso del tempo.
52
CAP. 12 LA COMPLIANCE NELL’EVOLUZIONE DELLA NORMATIVA CHE HA
SEGNATO IL PASSAGGIO DAL BAIL-OUT AL BAIL-IN
L’evoluzione della normativa sulle crisi bancarie: il passaggio dal bail-out al bail-in.
L’evoluzione della normativa che ha seguito le crisi finanziarie manifestatesi nel primo decennio degli anni
2000 hanno portato l’Europa a dotarsi di una nuova architettura normativa, comunemente conosciuta
come Unione Bancaria europea, che fa riferimento ad un corpus di testi legislativi, conosciuti come Single
Rulebook. Oltre a rendere il sistema finanziario europeo più trasparente, unificato e sicuro tra i principali
assiomi alla base della nuova architettura troviamo la volontà comune di scongiurare il ripetersi degli
interventi pubblici a favore delle istituzioni finanziarie. Il MUV assegna la giurisdizione sulla vigilanza
prudenziale alla BCE, in cooperazione con le Banche Nazionali, mantenendo integro il principio di
separatezza tra le funzioni di supervisione e di regolamentazione. Nel 2014 vennero emanati un
regolamento e due direttive, relativamente il Regolamento UE 806/2014 e la Direttiva 2014/59/UE che
hanno introdotto il Meccanismo Unico di Risoluzione delle Crisi (SRM) e il relativo Fondo di Risoluzione
(SFR) tenendo conto sia dei principi del “Banking Act”, del “Dodd-Frank Act” e degli standard definiti dal
Financial Stability Board. In attesa di un accordo sul terzo pilastro del MUV fu emanata una direttiva atta ad
armonizzare il funzionamento dei sistemi di garanzia dei depositi comunitari in termini di:
• Ammissibilità;
• Livello di copertura dei depositi;
• Modalità di tempi e di rimborso;
• Utilizzo dei mezzi finanziari disponibili per misure preventive;
• Sistemi di garanzie di depositi nazionale.
Ritornando al secondo pilastro dell’Unione Bancaria Europea, il SRM si compone di un’autorità accentrata
che prende il nome di Comitato Unico di Risoluzione, un’agenzia indipendente dell’Unione Europea e delle
Autorità Nazionali di Risoluzione delle Crisi (ANR). Le disposizioni del SRM furono recepite con il D.lgs. 180 e
181 del 2015, individuando Banca d’Italia come ANR. Essa svolge compiti istruttori ed operativi del SRM,
collabora con gli uffici del SRB e gestisce le procedure di liquidazione di banche e intermediari. Come
anticipato, il SRM viene dotato di un fondo, alimentato con contributi obbligatori versati dalle banche
europee. L’autorità competente può ricorrere all’utilizzo del SFR con l’obiettivo di facilitare l’utilizzo degli
strumenti di risoluzione. Il fondo è in costruzione dal 2016 e il livello obiettivo è pari ad almeno l’1%
dell’ammontare dei depositi protetti degli istituti di credito dei 21 paesi.
Strumenti di risoluzione
Nel caso venga avviata la procedura di risoluzione nei confronti di una banca, l’autorità competente può
predisporre la risoluzione e, a seconda della condizione in cui l’istituto bancario versa, o utilizza
singolarmente o congiuntamente i seguenti strumenti:
1. The sale of the business tool: attraverso lo strumento della vendita dell’attività d’impresa è
possibile la cessione dell’ente sottoposto a risoluzione in una o più soluzioni di beni e rapporti
giuridici, a un soggetto terzo ovvero a uno o più acquirenti, senza il consenso degli azionisti. La
cessione deve essere condotta con la massima trasparenza e correttezza, evitando discriminazione
tra i cessionari, ottenendo il prezzo più alto possibile;
2. The bridge institution tool: attraverso la costruzione dell’ente ponte, la parte buona in termini di
attivo può essere mantenuta dall’ente originario e venduta successivamente ceduta all’ente ponte,
mentre, la parte cattiva viene trasferita ad un veicolo appositamente costituito;
53
3. The asset separation tool: la normativa considera lo strumento di separazione delle attività non in
sofferenza dell’ente in dissesto da quelle deteriorate attivabile solo combinandolo a un altro dei
resolution tools al fine di impedire un indebito vantaggio a favore dell’ente in dissesto;
4. The bail-in tool: al fine di assicurare l’attuabilità della risolvibilità dell’ente la normativa ha
introdotto per le banche europee un “Minimum Requirement for own funds ad Eligible Liabilities”
(MREL). Il MREL rientra tra le misure atte a garantire che le banche europee dispongano di fondi
propri e passività ammissibili per assorbire eventuali perdite in caso l’autorità ritenesse necessario
attuare alla risoluzione. In ottica bail-in, il requisito minimo di fondi propri e passività garantisce
che vi siano risorse sufficiente per svalutare o convertire in azione di una banca rendendo attuabili
le misure di risoluzione senza dover ricorrere a fondi propri. Un altro requisito previsto dalla
normativa è il “Total Loss Absorbing Capacity” (TLAC) uno degli strumenti messi a punto nel 2015.
Uno degli obiettivi comuni di queste due normative è di assicurare che gli enti dispongano di un
adeguata capacità di assorbimento delle perdite al fine di assicurare il corretto funzionamento del
bail-in. Nonostante siano accumunate dallo stesso fine, il MREL e il TLAC presentano delle
differenze in termini di:
- Categoria di destinatario: il MREL è destinato a tutte le banche mentre il TLAC alle sole
banche di rilevanza globale;
- Natura: il MREL è previsto dalla direttiva BRRD nel 2014 ed è espresso come percentuale
del totale delle passività e dei fondi propri mentre il TLAC è entrato in vigore nel 2016 ed è
espresso in termini di RWA.
Le normative di riferimento per il pacchetto di riforma del settore bancario sono riconducibili a:
• BRRD II: Bank Recovery and resolution Directive II;

• SRMR II: Single Resolution Mechanism Regulation.
La BRRD II rivede la calibrazione del requisito MREL e prevede un periodo di phase-in fissando un obiettivo
intermedio nel 2022 e quello definitivo nel 2024.
I nuovi adempimenti richiesti alle Autorità e alle banche
Disciplinati al capo I del titolo II dalla normativa BRRD II la “pianificazione del risanamento” e la
“pianificazione della risoluzione” vengono recepiti con il D.lgs. 180 e 181 del 2015 definendo modifiche al
TUB e al TUF. Assumono rilievo anche i Regolamenti Delegati della Commissione europea, le
raccomandazioni e le linee guida dell’EBA e i provvedimenti di BdI. Le nuove disposizioni introdotte
prevedono che sia compito dell’ANR predisporre i piani di risoluzione e compito delle supervised entities
(banche e intermediari finanziari) predisporre i piani di risanamento. La ANR è identificabile nell’Unità di
Risoluzione e Gestione delle Crisi istituita presso Banca d’Italia.
I piani di risanamento.
Introdotti dalla BRRD II con l’obiettivo di consentire, in caso di deterioramento, il riequilibrio della propria
situazione patrimoniale e finanziaria di banche e società di investimento. La previsione normativa si applica
alle società italiane capogruppo di un gruppo bancario e alle società componenti, alle banche italiane e alle
succursali italiane di banche extracomunitarie. Prevede che i destinatari delle disposizioni (banche e I.F.)
debbano dotarsi di un piano che contempli le misure volte al riequilibrio patrimoniale e finanziario da porre
in essere in caso di deterioramento della stessa. Gli intermediari devono predisporre, congiuntamente o
individualmente, in forma semplificata o ordinaria il piano di risanamento. Tra le misure indicate nei piani,
secondo l’ottica di bail-in, non deve essere concepito il sostegno finanziario pubblico straordinario,
evitando che i costi della crisi dell’intermediario definiscano un onere pubblico.
54
Una volta approvato dall’Organo di Amministrazione (OdA) il piano va inviato prima a Banca d’Italia e poi
all’Autorità di Risoluzione. Il piano può essere ritenuto conforme o meno, e le autorità possono richiederne
modifiche generali o specifiche. Tali piani sono parte del più ampio processo di prevenzione delle crisi e
sono predisposti per garantire che l’ente disponga di adeguate passività per fronteggiarla senza gravare sui
depositanti o sui cittadini.
I contenuti del piano di risanamento secondo il perimetro normativo di riferimento
Procedendo punto per punto, nella prima sezione si richiede alle banche di compilare i propri piani
sintetizzando gli elementi fondamentali sviluppati nei successivi punti. Gli elementi essenziali sono
riconducibili a:
• Governance;
• Analisi strategica;
• Piani di comunicazione;
• Misure preparatorie da attivare in caso di deterioramento.
In merito alle informazioni sulla governance sono riconducibili all’individuazione della modalità di sviluppo
e descrizione delle professionalità coinvolte nella predisposizione del piano. Riguardo alla governance un
ruolo cruciale è individuabile in capo all’alta dirigenza e alle funzioni aziendali di controllo essenziali
nell’elaborazione del piano. Queste devono definire il piano in coerenza sia con l’assetto generale che con il
risk management framework complessivo.
In merito all’analisi strategica bisogna predisporre una descrizione tesa a far emergere le caratteristiche
generali della stessa, le funzioni di importanza sistemica e le principali linee di business. Deve contenere gli
indicatori del piano di risanamento e le opzioni di risanamento. Questa dovrebbe quindi indicare in che
modo le azioni di risanamento sono state testate rispetto a specifici scenari di stress finanziario, per cercare
di individuare le possibili opzioni di risanamento efficaci in ciascuna ipotesi effettuata.
Per quanto riguarda i piani di comunicazione il piano deve essere comunicato sia internamente che
esternamente ai vari stakeholders.
All’interno dell’analisi strategica troviamo la predisposizione di indicatori di risanamento che si distinguono

in:
• Indicatori di capitale: CET1 ratio/TC ratio;

• Indicatori di liquidità: LCR/NSFR/Costo del funding;
• Indicatori di reddittività: ROA/ROE;
• Indicatori di qualità delle attività: Tasso di copertura/ tasso di crescita dei deteriorati lordi;
• Indicatori basati sul mercato: Differenziale CDS spread/ Variazione prezzo azioni/ rating;
• Indicatori macroeconomici: Variazioni PIL/CDS debito sovrano.
Attraverso il monitoraggio di questi indicatori le funzioni aziendali possono monitorare lo stato della banca,
nonché definire le recovery options (opzioni di risanamento). La funzione compliance coordinandosi e
collaborando con le funzioni aziendali di controllo potrà definire metodologie e procedure da utilizzare per
contribuire alla definizione del piano.
55
Il ruolo degli organi aziendali e i compiti dell’alta dirigenza e delle funzioni aziendali.
Le fasi della predisposizione del piano di risanamento sono:
1. Fase di preparazione o costruzione;

2. Fase di approvazione;
3. Fase di monitoraggio;
4. Fase di revisione.
A mero scopo semplificativo abbiamo distinto le quattro fasi in un ciclo ex-ante, comprendente le fasi di
costruzione e approvazione, e un ciclo ex-post, comprendente le fasi di monitoraggio e revisione. L’organo
di amministrazione assume primaria rilevanza nella predisposizione del piano di risanamento, specialmente
nella fase di approvazione. Dopo la fase di approvazione da parte del OdA il piano verrà inviato alla ANR per
la valutazione, che nel caso italiano abbiamo detto essere BdI. L’organo di amministrazione svolge
importanti attività anche nella fase di monitoraggio, qualora si manifestasse un deterioramento, sarà suo
compito attivare le misure contemplate nel piano stesso. L’organo di amministrazione deve partecipare in
prima persona anche in fase di revisione, poiché i piani devono essere rivisti dalle banche con cadenza
almeno annuale. L’attività dell’Organo di Amministrazione deve essere adeguatamente supportata da altre
funzioni, per esempio il Comitato Esecutivo dovrà partecipare attivamente in fase di monitoraggio, cosi
come il Comitato rischi, che collaborerà sia in sede di monitoraggio che in sede di approvazione. L’Alta
dirigenza assume un ruolo cruciale nella pianificazione e coordinamento del piano e nel presidiare i
successivi flussi informativi nella fase di monitoraggio. Secondo la logica top-down possiamo individuare
nell’Alta Dirigenza un ruolo guida per gli istituti che parteciperanno alla definizione del piano, ma definendo
un continuo dialogo con le funzioni dedicate al controllo giornaliero quindi integrando anche una logica
bottom-up. Le funzioni interne di controllo aziendale ricoprono un ruolo cruciale sin dalla prima fase del
piano. Il contributo delle funzioni è cruciale per definire un piano di risanamento coerente con il RAF e il
processo ICLAAP. Il contributo delle funzioni SCI è essenziale anche nelle fasi di monitoraggio e revisione.
Tra le funzioni un attore importante è proprio la funzione compliance, che riveste un ruolo di primaria
importanza nella preparazione del piano. Concentrandoci sulla fase ex-ante il primo contributo della FC è
riconducibile all’attività di brainstorming finalizzata alla verifica dell’assetto normativo ed organizzativo
interno. In merito all’organizzazione interna la FC riveste un ruolo chiave nel presidiare il processo di
esecuzione del piano, garantendo che questo sia completo nei contenuti, coerente e conforme agli
adempimenti richiesti. Nella fase di preparazione la FC può intervenire nel porre in essere azioni di
monitoring, potrà predisporre flussi informativi finalizzate al controllo di conformità. Una volta approvato
dall’organo il piano di risanamento andrà aggiornato, ovvero certificato negli intervalli temporali richiesti
dalla vigilanza, in fase di revisione, la FC può partecipare attivamente in fase di revisione contribuendo al
riesame del piano. Anche il RM svolge una funzione chiave nella predisposizione del piano di risanamento,
verificando che lo stesso sia conforme al RAF e all’ICLAAP. La stessa funzione di Internal Audit potrà
parteciparvi per garantire il corretto svolgimento delle funzioni di secondo livello nella predisposizione del
piano.
56
Sommario
INTRODUZIONE .................................................................................................................................................. 1
CAP. 1 LA CONTINUA EVOLUZIONE DEL CONTESTO NORMATIVO .................................................................... 1
CAP. 2 L’ORIGINE DEI MODELLI DI CONTROL GOVERNANCE NELLE DIVERSE REALTÀ AZIENDALI:
L’INTEGRAZIONE DEI FATTORI ESG .................................................................................................................... 3
CAP 3. IL SISTEMA DEI CONTROLLI INTERNI DELLE BANCHE E LE NUOVE INDICAZIONI DI VIGILANZA ............. 7
CAP. 4 I DIVERSI MODELLI DI GOVERNANCE ...................................................................................................... 9
CAP. 5 L’ORGANIZZAZIONE DELLA FUNZIONE COMPLIANCE IN BANCA .......................................................... 15
CAP. 6 IL PERIMETRO NOTMATIVO E LE PRINCIPALI AREE TEMATICHE DELLA FUNZIONE COMPLIANCE ...... 20
CAP. 7 ANALISI METODOLOGICA DELLA GESTIONE DEL RISCHIO DI COMPLIANCE E DI REPUTAZIONE.......... 26
CAP.8 LA FUNZIONE COMPLIANCE IN OTTICA BUSINESS ORIENTED ............................................................... 32
CAP. 9 APPLICAZIONI PRATICHE DELLA COMPLIANCE BUSINESS ORIENTED ................................................... 39
CAP. 10 LA FUNZIONE COMPLIANCE E LE SOLUZIONI REGTECH ..................................................................... 43
CAP 11. I CONTROLLI DELLA VIGILANZA EUROPEA E LE SANZIONI AMMINISTRATIVE: MODELLI A
CONFRONTO ..................................................................................................................................................... 47
CAP. 12 LA COMPLIANCE NELL’EVOLUZIONE DELLA NORMATIVA CHE HA SEGNATO IL PASSAGGIO DAL BAIL-
OUT AL BAIL-IN ................................................................................................................................................. 53
57

COMPILANCE in Banca

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

COMPILANCE in Banca

Caricato da

Copyright:

Formati disponibili

RIASSUNTO COMPLIANCE

CAP. 1 LA CONTINUA EVOLUZIONE DEL CONTESTO NORMATIVO

CAP. 2 L’ORIGINE DEI MODELLI DI CONTROL GOVERNANCE NELLE DIVERSE

1. Gli obiettivi dell’organizzazione;

• Efficienza ed efficacia delle attività operative;

Valutazione del rischio

• Controlli relativi agli aspetti operativi;

DALL’ENTERPRISE RISK MANAGEMENT (ERM) AL SUSTAINABLE RISK MANAGEMENT (SERM)

Gli elementi del CoSO passano così da 5 a 8, a cui si aggiungono allora:

6. Definizione degli obiettivi;

• Allineamento della strategia sui livelli di rischio accettabili;

• Enviromental: (cambiamento climatico, riscaldamento globale, risorse naturali, inquinamento,

La struttura del ERM si articola in diverse fasi:

• Mappare e definire i requisiti ESG obbligatori o volontari;

Per la strategia e definizione degli obiettivi:

• Efficacia ed efficienza dei processi aziendali;

I controlli interni si dividono in tre linee di difesa:

• Efficace flusso informativo e semplificazione delle informative;

I principi per un sistema di controlli interno integrato sono:

• Definizione della base informativa e tassonomia comuni;

CAP. 4 I DIVERSI MODELLI DI GOVERNANCE

• Rapporti gerarchici e funzionali;

1. Organo con funzione di supervisione strategica;

L’organo con funzione di supervisione strategica:

- Responsabilità di individuare e approvare orientamenti strategici e politiche di gestione rischi;

Organo con funzione di gestione:

- Mantenere un efficace sistema di controllo dei rischi;

Organo con funzione di controllo:

- Si avvale di flussi informativi provenienti dal sistema SCI;

• Il consiglio di sorveglianza possa procede in qualsiasi momento ad atti di ispezione o controllo;

• Si attribuisca espressamente al comitato per il controllo i compiti di vigilanza sull’osservanza delle

L’organo con funzioni di controllo svolge:

1. Il controllo diretto dell’assemblea sul CdA;

L’Assemblea dei soci nei tre modelli di governance.

Nel modello monistico l’Assemblea:

Nel modello dualistico l’Assemblea:

• Nomina e revoca i consiglieri di sorveglianza;

Nel modello tradizionale l’Assemblea:

I principi fondamentali del governo societario sono:

Valutazione dell’idoneità dei ruoli apicali.

- Requisiti di onorabilità e correttezza;

CAP. 5 L’ORGANIZZAZIONE DELLA FUNZIONE COMPLIANCE IN BANCA

L’attività di consulenza si divide in due categorie:

• Analisi delle norme e degli aggiornamenti normativi di competenza dell’area compliance;

5. Identificazione, misurazione e valutazione

Si tratta dell’identificazione, misurazione e valutazione del rischio di compliance nel contesto

• Declinazione delle normative sui processi;

• Monitoraggio sistemico: accertare periodicamente lo stato di avanzamento delle azioni correttive

• Report ordinario: il report redatto a seguito di un’analisi e un processo di conformità relativo ad

- Principali attività svolte;

• Redazione del compliance plan;

Esternalizzazione della funzione compliance

Esternalizzazione della funzione compliance a terze parti

La circolare 285/2013 definisce la possibilità di esternalizzare la funzione compliance solo se si

L’intermediario deve assicurarsi che esternalizzando la funzione i responsabili esterni dispongano di

Esternalizzazione all’interno del gruppo

CAP. 6 IL PERIMETRO NOTMATIVO E LE PRINCIPALI AREE TEMATICHE

Disposizioni di Vigilanza della Banca d’Italia 2007: “la funzione di conformità”.

E ne definisce i principali compiti:

L’emanazione della direttiva MiFID (2004/39/CE) ha influenzato e condizionato la funzione di compliance. I

• Monitoraggio permanente e valutazione periodica delle politiche messe in atto;

Circolare 263/2006 e Circolare 285/2013

- Normativa in materia di dati personali;