Resoconto degli interventi

a cura di

http://www.compliancenet.it/content/compliance-in-banks-2010

versione doc: http://www.compliancenet.it/documenti/resoconto-compliance-in-banks-2010.doc

versione 1.022 novembre 2010

Creative Commons Attribuzione - Non commerciale 2.5 Italia Licensehttp://creativecommons.org/licenses/by-nc/2.5/it/

I loghi ed i contenuti delle presentazioni e delle relazioni commentate nel testo sono di proprietà dei rispettivi relatori e/o società di appartenenza.

Creative Commons Attribuzione - Non commerciale 2.5 Italia License http://creativecommons.org/licenses/by-nc/2.5/it/

Commons Deed

Tu sei libero:

di riprodurre, distribuire, comunicare al pubblico, esporre in pubblico, rappresentare, eseguire e recitare quest'opera

di modificare quest'opera

Alle seguenti condizioni:

Attribuzione. Devi attribuire la paternità dell'opera nei modi indicati dall'autore o da chi ti ha dato l'opera in licenza e in modo tale da non suggerire che essi avallino te o il modo in cui tu usi l'opera.

Non commerciale. Non puoi usare quest'opera per fini commerciali.

Ogni volta che usi o distribuisci quest'opera, devi farlo secondo i termini di questa licenza, che va comunicata con chiarezza.

In ogni caso, puoi concordare col titolare dei diritti utilizzi di quest'opera non consentiti da questa licenza (agatino.grillo@gmail.com) .

Questa licenza lascia impregiudicati i diritti morali.

Limitazione di responsabilitàLe utilizzazioni consentite dalla legge sul diritto d'autore e gli altri diritti non sono in alcun modo limitati da quanto sopra.Questo è un riassunto in linguaggio accessibile a tutti del Codice Legale (la licenza integrale)1.

1 http://creativecommons.org/licenses/by-nc/2.5/it/legalcode

Indice

INDICE............................................................................................................................IINFORMAZIONI PRELIMINARI........................................................................IV

COS’È COMPLIANCENET?...............................................................................................IVCHI È L’AUTORE DI QUESTO DOCUMENTO?.........................................................................IVCOS’È LA COMPLIANCE COMMUNITY DI ABIFORMAZIONE?...................................................V

PREFAZIONE.............................................................................................................1PRIMA SESSIONE - LA COMPLIANCE DOPO LA CRISI: RIPRISTINARE LA FIDUCIA SUI MERCATI FINANZIARI..........................................................3

GIOVANNI SABATINI – INTRODUZIONE AI LAVORI.................................................................4La comunità virtuale della compliance di ABI.......................................................4Il dibattito sulla Compliance..................................................................................4Compliance in Banks 2010.....................................................................................5

KRISTIN ARNAR STEFANSSON, HEAD OF COMPLIANCE, ISLANDSBANKI - LE LEZIONI PER LA FUNZIONE COMPLIANCE GIUNTE DALLA CRISI FINANZIARIA......................................................6LUIGI SPADA, RESPONSABILE UFFICIO VIGILANZA E ALBO INTERMEDIARI E AGENTI DI CAMBIO CONSOB – LE ATTESE DI CONSOB CIRCA LA COMPLIANCE SUI SERVIZI DI INVESTIMENTO.............8

Business è responsabilità........................................................................................8Business e Compliance: due facce della stessa medaglia......................................9La Compliance nei servizi di investimento: alcune scelte di campo......................9

RUBENS SANNA, PRESIDENTE COMMISSIONE COMPLIANCE AIBE – ASSOCIAZIONE BANCHE ESTERE IN ITALIA, COMPLIANCE OFFICER BNP PARIBAS - LE SPECIFICITÀ DI COMPLIANCE DELLE BANCHE ESTERE IN ITALIA..........................................................................................................10AIDA MAISANO, DIRETTORE, ABIFORMAZIONE - LA CERTIFICAZIONE ABI DELLE CONOSCENZE E ABILITÀ DI GESTIONE DELLA COMPLIANCE..........................................................................12

SECONDA SESSIONE - LE METODOLOGIE: VALUTARE IL COMPLIANCE RISK..............................................................................................13

GIANFRANCO TORRIERO, DIRETTORE CENTRALE, RESPONSABILE AREA CENTRO STUDI E RICERCHE ABI, CHAIRMAN DELLA SESSIONE - IL CONTRIBUTO DELLA FUNZIONE COMPLIANCE AL PROCESSO ICAAP.......................................................................................................................14

Funzione Compliance: quale ruolo oggi?............................................................14I possibili contributi della Compliance all’ICAAP..............................................15Alcune domande...................................................................................................16

RENATA TESIO, RESPONSABILE UFFICIO REPORTING, DIREZIONE CENTRALE COMPLIANCE INTESA SANPAOLO - IL MODELLO DI COMPLIANCE RISK ASSESSMENT NELL’ESPERIENZA DI INTESA SANPAOLO...................................................................................................................17

Resoconto-Compliance-in-Banks-2010 I

La Compliance in Intesa Sanpaolo.......................................................................17Modello di RiskAssessment...................................................................................18L’informativa agli organi sociali e ai comitati....................................................19Focus sul rischio reputazionale – l’aderenza al Codice Etico.............................19

FERNANDO METELLI, PRESIDENTE AIFIRM – ASSOCIAZIONE ITALIANA FINANCIAL INDUSTRY RISK MANAGER - INTERAZIONI ORGANIZZATIVE E FUNZIONALI TRA LE ATTIVITÀ DI RISK MANAGEMENT E DI COMPLIANCE............................................................................................................21FABIO BOCCHINI, SENIOR MANAGER DELLA SERVICE LINE RISK & COMPLIANCE ACCENTURE - COMPLIANCE RISK MANAGEMENT: APPROCCIO ALLA VALUTAZIONE DEL RISCHIO DI NON-CONFORMITÀ................................................................................................................23

Contesto di riferimento.........................................................................................23Approccio al Compliance Risk Assessment..........................................................23Considerazioni conclusive....................................................................................24

MARCO PIGLIACAMPO, REFERENTE AREA ANALISI E GESTIONE ABIFORMAZIONE E FEDERICO MELONI, UFFICIO COORDINAMENTO COMPLIANCE FEDERCASSE - L’EVOLUZIONE DEL SERVIZIO ABICS VERSO LA GESTIONE AZIENDALE DELLA COMPLIANCE: L’ESPERIENZA DI ABICS-CREDITO COOPERATIVO..............................................................................................................25PAOLO POGLIAGHI, RESPONSABILE COMPLIANCE E RISCHI BCC CARUGATE - LA MISURAZIONE DEL RISCHIO DI NON CONFORMITÀ FINALIZZATA ALL’ICAAP: L’ESPERIENZA DI UNA PICCOLA BANCA. . .28

TERZA SESSIONE - TEMI APERTI: COMPLIANCE & LEGAL...................30GRAZIELLA CAPELLINI, HEAD OF COMPLIANCE ITALY UNICREDIT GROUP - LA COMPLIANCE IN UNICREDIT: EVOLUZIONE E NUOVE SFIDE...........................................................................31ALESSANDRA PERRAZZELLI, HEAD OF INTERNATIONAL AND ANTITRUST AFFAIRS INTESA SANPAOLO - IL PROGRAMMA DI COMPLIANCE ANTITRUST DI INTESA SANPAOLO........................33LEANDRO POLIDORI, RESPONSABILE COMPLIANCE BANCA MPS - COMPLIANCE, LEGALE E CONTROLLI INTERNI IN BANCA MONTE DEI PASCHI DI SIENA.................................................35

Il Sistema dei Controlli Interni BMPS..................................................................35Evoluzione delle Funzioni di Compliance e Legale.............................................36Rapporti tra Compliance e Legale.......................................................................36

LUCA BONZANINI, RESPONSABILE AFFARI LEGALI E CONTENZIOSO UBI BANCA - RAPPORTI TRA LEGALE E COMPLIANCE NEL GRUPPO UBI..........................................................................37EDOARDO PRONELLO, RESPONSABILE FUNZIONE COMPLIANCE BANCA DEL PIEMONTE - LA RIPARTIZIONE TRA COMPLIANCE E LEGALE DELLE ATTIVITÀ DI CONSULENZA E DI VALIDAZIONE DEI PROCESSI.....................................................................................................................38

Contesto normativo...............................................................................................38La situazione in Banca del Piemonte...................................................................38

QUARTA SESSIONE - TEMI APERTI: COMPLIANCE, HR & AUDIT.........40GIANCARLO DURANTE, DIRETTORE CENTRALE, RESPONSABILE AREA SINDACALE E DEL LAVORO ABI, CHAIRMAN DELLA SESSIONE - LE POLITICHE RETRIBUTIVE AZIENDALI: IL CONTRIBUTO DELLA COMPLIANCE................................................................................................................41CLAUDIA PASQUINI, RESPONSABILE SETTORE ANALISI E GESTIONE DEI RISCHI ABI - GLI ACCORDI DI SERVIZIO TRA FUNZIONI INTERNAL AUDIT E COMPLIANCE.................................................43

Resoconto-Compliance-in-Banks-2010 II

GIUSEPPE AQUARO, MEMBRO COMITATO PER IL SETTORE FINANZIARIO, AIIA – ASSOCIAZIONE ITALIANA INTERNAL AUDITORS, RESPONSABILE AUDIT ON SITE, UNICREDIT GROUP - IL COORDINAMENTO COMPLESSIVO DEL SISTEMA DEI CONTROLLI INTERNI IN BANCA.....................45CLAUDIO COLA, PRESIDENTE AICOM – ASSOCIAZIONE ITALIANA COMPLIANCE, RESPONSABILE COMPLIANCE DEXIA - LA FUNZIONE COMPLIANCE E LA PLURALITÀ DEI SOGGETTI DEL SISTEMA DEI CONTROLLI INTERNI: L’ORGANISMO DI VIGILANZA (D.LGS 231/2001) E LA FUNZIONE ANTIRICICLAGGIO..........................................................................................................47SIMONE BARBIERI, FUNZIONE COMPLIANCE BARCLAYS BANK - I CONTROLLI DI COMPLIANCE A DISTANZA....................................................................................................................49ADALBERTO ALBERICI, PRESIDENTE COMITATO SCIENTIFICO COMPLIANCE ABI, ORDINARIO DI ECONOMIA DEGLI INTERMEDIARI FINANZIARI UNIVERSITÀ DI MILANO - RIFLESSIONI SULLE INTERRELAZIONI TRA HR E COMPLIANCE...........................................................................51

QUINTA SESSIONE - TEMI APERTI: LA COMPLIANCE SUI SERVIZI DI INVESTIMENTO.....................................................................................................53

MASSIMO ROCCIA, RESPONSABILE AREA BUSINESS ABI, CHAIRMAN DELLA SESSIONE - IL RUOLO DELLA FUNZIONE COMPLIANCE NEI SERVIZI DI INVESTIMENTO...............................................54CARLO APPETITI, HEAD OF COMPLIANCE ITALY DEUTSCHE BANK - IL COMPLIANCE PLAN E IL RAPPORTO CON LE ALTRE FUNZIONI DELLA BANCA..............................................................56

La Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed organizzazione locale...........................................................................................56La pianificazione delle attività della Compliance................................................56

ALESSANDRO PAPANIAROS, RESPONSABILE COMPLIANCE BANCO POPOLARE - IL REGIME DEI CONFLITTI DI INTERESSE E DEGLI INDUCEMENT DAL PUNTO DI VISTA DELLA FUNZIONE COMPLIANCE..................................................................................................................................58

Conflitti di Interesse.............................................................................................58Inducement............................................................................................................59

GIULIO GIORGINI, SENIOR PARTNER BEE TEAM - METODOLOGIE ED ESPERIENZE A SUPPORTO DELL’ATTIVITÀ DI COMPLIANCE NEI SERVIZI DI INVESTIMENTO...............................................60

Il Sistema dei controlli della Funzione Compliance............................................60Il presidio della documentazione come leva del controllo (il caso della contrattualistica MiFID)......................................................................................60

MASSIMILIANO PASSARO, RESPONSABILE COMPLIANCE BANCOPOSTA POSTE ITALIANE - LA GESTIONE DEL PROCESSO DI COMPLIANCE APPLICATO AI SERVIZI DI INVESTIMENTO....................62DAVID SABATINI, RESPONSABILE SETTORE FINANZA ABI - L’EVOLUZIONE DEL RUOLO DELLA FUNZIONE COMPLIANCE NEI SERVIZI DI INVESTIMENTO.........................................................64

ALLEGATI................................................................................................................67RIEPILOGO DELLA NORMATIVA DI RIFERIMENTO CITATA NEL CONVEGNO..................................67Link...........................................................................................................................69

Resoconto-Compliance-in-Banks-2010 III

Informazioni preliminariCos’è ComplianceNet?ComplianceNet http://www.compliancenet.it/ è un sito no profit che si occupa della divulgazione delle tematiche legate alla compliance, al sistema dei controlli, alla privacy.

Per altre informazioni: cristina.cellucci@compliancenet.it

Chi è l’autore di questo documento?

Agatino Grillo si occupa di compliance, internal audit e sistemi EDP. CISA, CISM, CISSP è stato membro del comitato direttivo di ISACA Roma e del comitato direttivo di AIEA. Collabora con http://www.compliancenet.it/

Sito personale: http://www.agatinogrillo.it/ Email: agatino.grillo@gmail.com LinkEdin: http://www.linkedin.com/in/agatinogrillo Twitter : http://twitter.com/agagri FaceBook : http://it-it.facebook.com/people/Agatino-Grillo/100000161768295

Resoconto-Compliance-in-Banks-2010 IV

Cos’è la Compliance Community di ABIFormazione?

ABI Formazione, in concomitanza con il convegno “Compliance in Banks 2010”, ha attivato una community online http://www.compliance-community.it/, con la finalità di agevolare le attività di scambio e confronto tra tutti coloro che si occupano di conformità bancaria e finanziaria; l’accesso a http://www.compliance-community.it/ è riservato a coloro che partecipano o hanno partecipato alle attività ABI e ABIFormazione in tema di compliance; nella Community saranno progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che siano ritenuti di particolare interesse per la Funzione Compliance. Una copia del presente documento è disponibile in http://www.compliance-community.it/.Le slide degli interventi dei relatori ed altro materiale documentale ed audiovisivo relativo a “Compliance in Banks 2010” sono disponibili in http://www.compliance-community.it/.

Resoconto-Compliance-in-Banks-2010 V

http://www.compliance-community.it/pages/la-community/

La CommunityIl luogo di tutti coloro che hanno a cuore la compliance in banca.La Compliance Community nasce con la finalità di agevolare le attività di scambio e confronto tra tutti coloro che si occupano di conformità bancaria e finanziaria.In particolare, è riservata a coloro che partecipano o hanno partecipato alle attività ABI e ABIFormazione in tema di compliance: Convegno annuale, Percorso di formazione, Workshop e seminari, servizio ABICS.Nella Community saranno progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che siano ritenuti di particolare interesse per la Funzione Compliance. Vi saranno raccolti, inoltre, i materiali prodotti negli eventi, convegni e workshop in tema di compliance.Ma il cuore della comunità è rappresentato dalle attività degli utenti, ai quali affidiamo un "luogo" dove possono "incontrarsi" per proporre temi, partecipare a discussioni, commentare le proposte altrui, rendere disponibili documenti.Tutto questo on line.Prevediamo, inoltre, di facilitare l'organizzazione di un calendario di incontri in presenza, finalizzati ad un confronto strutturato, eventualmente agevolato da esperti, sulle tematiche che i partecipanti alla Compliance Community avrannno indicato.Se sei un utente ABICS o hai partecipato ad un evento ABI e ABIFormazione sulla compliance, dovresti aver ricevuto un invito via e-mail a registrarti alla community. In ogni caso, puoi fare richiesta di registrazione con l'apposito modulo on line.Il modulo di registrazione appare cliccando su ogni contenuto riservato agli utenti loggati.

Resoconto-Compliance-in-Banks-2010 VI

Prefazione

Quando il gioco si fa duro

È con grande piacere che scrivo questa breve introduzione al “Resoconto” del convegno “Compliance in Banks 2010” che si è tenuto a Roma l’11 e 12 novembre 2010 organizzato da ABI, ABIFormazione e ABIEventi.Vorrei in primis a ringraziare gli organizzatori dell’evento ed in particolare Aida Maisano e Marco Pigliacampo che mi hanno invitata al convegno e che ci hanno aiutati a redigere il resoconto.Un ringraziamento sentito a tutti i relatori del convegno per i loro interventi tutti interessanti e stimolanti; grazie infine a tutti i partecipanti.Passando ai temi ed alle suggestioni delle due giornate (un bellissimo alternarsi di pioggia e sole nel cuore di Roma sempre magica) basta sfogliare l’indice di questo volumetto per rendersi conto di quanto la Compliance sia ormai al centro della governance bancaria e che, passato ormai la fase di start-up della nuova funzione di conformità, l’attenzione del legislatore, della vigilanza, del vertice aziendale e della clientela sia ormai puntata costantemente sul Compliance Officer che mi pare assuma sempre più la fisionomia di un “Caronte” aziendale che deve traghettare la barca (la banca …) tra due rive (regole e business) tra cui scorrono acque sempre impetuose ed agitate.Al di là delle rievocazioni mitologiche quel che è emerso dalla 2 giorni di “Compliance in Banks 2010” è che, a mio avviso, per la nostra funzione è ormai finito il periodo delle riflessioni metodologiche (direi quasi filosofiche …) ed è giunto il momento di dimostrare in nostro valore nel gioco di squadra delle organizzazioni in cui operiamo.Ho sentito molti lamentarsi della iper legislazione normativa, delle incongruenze tra le norme, delle invasioni di campo tra authority: ebbene dobbiamo metterci testa che le cose non cambieranno ed anzi il gioco si farà sempre più duro.Proprio oggi, 17 novembre 2010, mentre scrivo queste brevi note Banca d’Italia ha dichiarato in audizione alla Camera dei Deputati che “i prossimi anni vedranno una produzione normativa intensa (…) in quanto è probabile che si aprirà una nuova fase di innovazione finanziaria, con nuovi prodotti e intermediari creati per minimizzare l’onere delle nuove norme e trasferire attività di intermediazione in aree non regolamentate o soggette a una vigilanza meno stringente. Sarà anche importante assicurare che le nuove regole siano effettivamente attuate in modo rigoroso in tutte le giurisdizioni, per evitare nuovi fenomeni di arbitraggio regolamentare”2. Dunque il gioco si fa duro e anche noi dobbiamo giocare duro.Per tali motivi momenti di confronto come “Compliance in Banks” sono fondamentali perché arricchiscono la nostra professionalità e dunque rendono più saldo il nostro ruolo in azienda.Per tali motivi, ancora, iniziative come la Compliance Community http://www.compliance-community.it/ di ABIFormazione sono non solo necessarie ma indispensabili.Per tali motivi, infine, la diffusione in azienda della cultura delle regole assume valenza strategica e su questo penso che anche noi di http://www.compliancenet.it/ nel nostro piccolo abbiamo e stiamo giocando un ruolo importante.Chiudo anticipando una nuova iniziativa di http://www.compliancenet.it/.

2 Andrea Enria, Capo del Servizio Normativa e politiche di vigilanza di Banca d’Italia, “Lo stato del sistema bancario italiano e le prospettive per l’attività normativa”, audizione alla la Camera dei Deputati, 17 novembre 2010, disponibile in http://www.bancaditalia.it/interventi/altri_int/2010/Enria-171110.pdf e http://www.compliancenet.it/documenti/enria-171110.epub

Resoconto-Compliance-in-Banks-2010 1

Il primo dicembre 2010 sarà online il primo numero di “Compliance normativa” http://www.compliance-normativa.it/ una rivista online (al momento aperiodica) che nasce con l’obiettivo di approfondire i temi della conformità e delle regole in azienda. Chiedo a tutti di seguirci, con pazienza ed attenzione, anche in questa nuova avventura. Noi da parte nostra garantiamo l’impegno e la passione che mettiamo in tutte le nostre attività di divulgazione sul tema della Compliance.

Grazie a tutti.

Cristina Cellucci

Resoconto-Compliance-in-Banks-2010 2

Prima sessione - La compliance dopo la crisi: ripristinare la fiducia sui mercati finanziari

11 novembre 2010, ore: 09.30 – 13.00

Interventi:

Giovanni Sabatini, Direttore Generale, ABI, chairman della sessione Kristin Arnar Stefansson, Head of Compliance, ISLANDSBANKI - Le lezioni per la

funzione compliance giunte dalla crisi finanziaria Luigi Spada, Responsabile Ufficio Vigilanza e Albo Intermediari e Agenti di cambio

CONSOB – Le attese di Consob circa la compliance sui servizi di investimento Rubens Sanna, Presidente Commissione Compliance AIBE – Associazione Banche Estere

in Italia, Compliance Officer BNP PARIBAS - Le specificità di compliance delle banche estere in Italia

Aida Maisano, Direttore, ABIFormazione - La certificazione ABI delle conoscenze e abilità di gestione della compliance

Di seguito la sintesi degli interventi.

Resoconto-Compliance-in-Banks-2010 3

Giovanni Sabatini – Introduzione ai lavori

L’intervento del dottor Sabatini, Direttore Generale dell’Associazione Bancaria Italiana, è stato preceduto da un breve video introduttivo (disponibile liberamente nella Compliance Community di ABIFormazione in http://www.compliance-community.it/public/videos/000/0007.flv) che ha sintetizzato i “termini” fondamentali della disciplina della compliance: conformità, complessità, legalità, reputazione, fiducia. A volte non si seguono le regole ma, alla fine, questo non è un vantaggio. La compliance “conviene” perché permettere di accrescere la fiducia del cliente.

Sabatini, dopo aver ringraziato i partecipanti all’evento ed in particolare i rappresentanti delle istituzioni, ha delineato una breve sintesi dei temi previsti nel convegno e tracciato un primo bilancio delle precedenti edizioni di “Compliance in Banks”.Questa è la sesta edizione di “Compliance in Banks”, un evento che ha anticipato ed accompagnato nel tempo, ancor prima dell’emanazione del documento del 2005 di Basilea (Compliance and the compliance function in banks http://www.bis.org/publ/bcbs103.pdf) il dibattito nel mondo bancario sul tema della conformità ed eticità dei comportamenti.

La comunità virtuale della compliance di ABIÈ stata attivata una community online http://www.compliance-community.it/, gestita da ABI Formazione, quale luogo virtuale di tutti coloro che hanno a cuore la compliance in banca e con la finalità di agevolare le attività di scambio e confronto tra tutti coloro che si occupano di conformità bancaria e finanziaria; l’accesso a www.compliance-community.it è riservato a coloro che partecipano o hanno partecipato alle attività ABI e ABIFormazione in tema di compliance; nella Community saranno progressivamente pubblicati i documenti di ABI e di altre fonti rilevanti che siano ritenuti di particolare interesse per la Funzione Compliance. Vi saranno raccolti, inoltre, i materiali prodotti negli eventi, convegni e workshop in tema di compliance; “il cuore della comunità”, ha sottolineato Sabatini, “è rappresentato dalle attività degli utenti, ai quali affidiamo un luogo dove possono incontrarsi per proporre temi, partecipare a discussioni, commentare le proposte altrui, rendere disponibili documenti; tutto questo on line”.

Il dibattito sulla ComplianceNegli anni passati il dibattito sulla funzione di Compliance in banca ha attraversato 3 fasi.

1) Fase nascente: nella quale è stato posto sul tavolo il tema (nuovo) della necessità di immaginare, progettare e realizzare una nuova funzione organizzativa dedicata alla conformità contestualmente ad una trasformazione radicale del quadro normativo che assumeva, e sempre più ha assunto nel tempo, caratteri di estrema complessità e interconnessione.

2) Fase implementativa: nella quale i presidi di verifica di conformità sono stati messi in opera parallelamente all’emanazione della normativa di secondo livello (Banca d’Italia e Consob 2007, ISVAP nel 2008); si è trattato, ha osservato Sabatini, della fase più complicata ed onerosa per gli intermediari anche perché mancavano modelli di riferimento e best practice significativi ed adatti al modello italiano; proprio per tale motivo il lavoro di ABI, spesso in anticipo rispetto alle deliberazioni delle autorità preposte, è stato prezioso e di valore; è la fase in cui la formazione della futura “classe dirigente” della compliance

Resoconto-Compliance-in-Banks-2010 4

grazie ad ABIFormazione si è rivelato preziosa con oltre 500 colleghi formati dal 2006 ad oggi. È stata la fase di partenza di ABICS, il sistema informativo a supporto della funzione di Compliance, con il quale ABI ha realizzato uno standard di sistema de facto grazie alla larghissima adesione ricevuta dagli intermediari.

3) Fase di sistematizzazione: è la fase attuale in cui i modelli e metodi si sono consolidati e servono altresì strumenti per gestire in modo sistematico le attività di conformità in banca: l’enfasi in questo momento è su come instaurare una collaborazione fattiva tra la funzione di Compliance e le altre funzioni aziendali, su come sfruttare i sistemi di automazione IT, sul modo migliore di comunicare il senso vero della “missione compliance” a tutta la banca, su come realmente si può proteggere da un lato la reputazione della banca e dall’altro guadagnare una maggiore fiducia da parte del cliente. Oggi anche l’offerta di ABI si è conseguentemente raffinata e specializzata: ABICS (come si vedrà nel seguito del convegno) è diventato un sistema altamente personalizzabile e gestibile in house; la formazione sulla compliance è diventato un vero e proprio percorso di certificazione non solo delle capacità ma anche delle abilità (anche su questo tema è previsto un approfondimento nel corso del convegno); la neonata comunità virtuale sulla compliance non è un semplice allinearsi ai progressi tecnologici più innovativi (peraltro necessario) ma anche il tentativo, sfruttando il web partecipativo 2.0, di realizzare economia di scala e scopo grazie alla condivisione delle conoscenze.

Compliance in Banks 2010Passando ai temi su cui si articola l’edizione 2010 del convegno, Sabatini ha esordito ricordando che il titolo del convegno è “La sfida di integrazione dei controlli interni”; si tratta dunque del tema, fondamentale, del raccordo tra i processi di Compliance e gli altri processi in banca. È innegabile, ha osservato Sabatini, che questo è un tema di governante aziendale: serve dunque un approccio armonizzato di GRC, Governance, Risk e Compliance, dove le diverse componenti non possono che essere tenti insieme da una cultura aziendale delle regole e della compliance basata su una gestione dei rischi capace di preservare il valore generato dal business.È centrale in tale progetto, ha ribadito Sabatini, il ruolo degli organi di governo aziendale, ruolo ribadito recentemente a livello comunitario dal Committee of European Banking Supervisors (CEBS http://www.c-ebs.org/ ) nel suo “consultation paper” sulla Internal Governance http://www.c-ebs.org/documents/Publications/Consultation-papers/2010/CP44/CP44.aspx.Un'efficace gestione del processo di compliance è tanto più necessario in un momento di turbolenza dei mercati e di crisi economica perché permette di minimizzare i costi grazie all’individuazione di processi sinergici tra le varie funzioni di controllo: in questo modo si fanno economie di scopo e di scala; l'interoperabilità delle funzioni di governo e controllo non solo evita duplicazioni e quindi inutili “formalismi” (sempre stigmatizzati dalle autorità di vigilanza) ma riducendo i costi permette una migliore sostenibilità.Sabatini ha infine sottolineato alcuni aspetti dell’interazione tra Compliance e Risk management (logiche comuni nelle specificità dei ruoli), Internal Audit (necessario un accordo di servizio, aspetto che sarà trattato più avanti nel convegno), Risorse Umane, Legale, Commerciale.Per quanto riguarda le Risorse Umane è fondamentale il tema dei sistemi retributivi e di incentivazione (inducements); anche qui sono intervenuti i regulators europei (ad esempio il CESR con il documento in consultazione “Inducements: Good and poor practices” del 19 aprile 2010, in http://www.cesr-eu.org/data/document/10_296.pdf) forse però con un approccio troppo intrusivo rispetto alle linee guida di Basilea 2.In conclusione del suo intervento, Sabatini ha auspicato una semplificazione del quadro normativo: troppe autorità e regulator intervengono su stesse discipline senza, apparentemente, nessuna coordinazione; il quadro normativo è assai complesso e stratificato già di per sé; le banche chiedono regole chiare e coerenti.

Resoconto-Compliance-in-Banks-2010 5

Kristin Arnar Stefansson, Head of Compliance, Islandsbanki - Le lezioni per la funzione compliance giunte dalla crisi finanziaria(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/95/ - solo utenti registrati)

L’intervento di Stefansson (che ha premesso essere una sua personale visione dei fatti accaduti e non una presa di pozione ufficiale della banca IslandsBank http://www.islandsbanki.is/english/ per cui lavora) ha ripercorso i drammatici eventi della crisi finanziaria in Islanda nel 2008. In sintesi a seguito del crollo di Lehman Brothers, le tre principali banche nazionali, fortemente esposte verso l’estero, furono nazionalizzate e poste sotto il controllo della FSA la Financial Supervisory Authority http://en.wikipedia.org/wiki/Financial_Supervisory_Authority_(Iceland) islandese.La crisi finanziaria internazionale, ha osservato Stefansson, ha avuto effetti particolarmente devastanti in Islanda http://en.wikipedia.org/wiki/2008%E2%80%932010_Icelandic_financial_crisis perché le autorità di vigilanza ed i sistemi di controllo interni degli intermediari erano troppo deboli pur in presenza di un mercato finanziario assai complesso e che cresceva impetuosamente. Il management bancario, inoltre considerava la compliance come un “necessary evil” (male necessario) cioè un semplice costo senza nessun rapporto con il business.I motivi della virulenza della crisi in Islanda, che ha quasi portato l’intero paese alla bancarotta, sono ben spiegati in uno studio di Kaarlo Jännäri, Report on Banking Regulation and Supervision in Iceland: past, present and future, 30 marzo 2009 http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf e si devono in sintesi nella (sfortunata) combinazione di più fattori:

banche impreparate (bad banking); politiche insufficienti (bad policies); sfortuna (bad luck).

Il parlamento islandese ha anche istituito una commissione speciale (Special Investigative Commission – SIC http://sic.althingi.is/) per investigare le vere cause della crisi che sono state individuate anche in significative debolezze da parte delle funzioni di Compliance delle tre banche sotto esame, quali:

mancanza di informazioni corrette per svolgere il proprio lavoro; poco coinvolgimento nelle decisioni rilevanti del management; inadeguata autorità ed indipendenza; incapacità di limitare l’eccessivo orientamento al business della struttura organizzativa.

Tuttavia, ha osservato Stefansson, la crisi ci ha dato anche degli insegnamenti significativi: occorre rafforzare l’indipendenza e la professionalità delle parti coinvolte nel controllo e

supervisone; si deve aumentare la cultura delle regole e della conformità negli intermediari; è necessario che la Financial Supervisory Authority diventi una sorta di “back-up” delle

funzioni di controllo quando questa funzione non è capace di svolgere il proprio compito.

Resoconto-Compliance-in-Banks-2010 6

Ciò premesso Stefansson si è poi chiesto se fosse opportuno o meno che le “lezioni apprese” fossero tradotte in norme o se questo rischiasse di causare una regolamentazione eccessiva.Stefansson ha poi analizzato come la direttiva MiFID fosse stata implementata in Islanda illustrandone anche i punti di debolezza e concludendo con una rapida analisi dello status della Compliance nelle banche islandesi anche a seguito degli insegnamenti della recente crisi.In sintesi le banche hanno rivalutato il ruolo delle funzioni di compliance, risk e internal audit migliorandone i processi, l’indipendenza e l’interoperabilità.

Resoconto-Compliance-in-Banks-2010 7

Luigi Spada, Responsabile Ufficio Vigilanza e Albo Intermediari e Agenti di cambio CONSOB – Le attese di Consob circa la compliance sui servizi di investimento(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/94/ - solo utenti registrati)

Il dottor Spada ha esordito dicendo che il suo intervento sarebbe stato dedicato a come la Compliance crea valore per l’impresa. Guai a considerare la funzione di Compliance solo come “un costo che cammina”: al contrario si tratta di una componente fondamentale del governo d’impresa perché gestendo il rischio reputazionale e legale contribuisce a far crescere l’impresa. Questi concetti, ha osservato Spada, sono ormai condivisi tra i Compliance Officer e tra coloro che a vario titolo fanno parte del più ampio Sistema dei Controlli; meno coscienza di ciò si ha, purtroppo, nei vertici apicali e nei componenti dei Consigli di Amministrazione. Spada ha quindi rivolto un invito ad ABI a coinvolgere in iniziative di compliance anche l’alta direzione delle banche socie.

L’intervento del dottor Spada si è articolato in tre parti:

1. business è responsabilità;2. business e Compliance: due facce della stessa medaglia;3. la Compliance nei servizi di investimento: alcune scelte di campo.

Business è responsabilitàIl mercato finanziario, ha detto Spada, è come un fragile ingranaggio che permette di creare valore attraverso la “trasmissione” tra i diversi settori ed attori di mercato.

Dobbiamo però distinguere tra l’intermediazione bancaria che attraverso l’esercizio del credito fa raccolta e trasformazione del risparmio ed i servizi di investimento (molto più complessi e delicati) che fanno incontrare la disponibilità del cliente con i prodotti finanziari disponibili: in quest’ultimo caso si tratta di una diretta relazione tra investitore e servizio di investimento (o prodotto) basato su un mandato, termine che per sua natura rimanda non ad una semplice vendita ma ad un rapporto di fiducia tra le parti che richiede di agire secondo l’interesse del cliente.

I servizi di investimento dunque sono una sorta di filtro che, prendendo il cliente per mano, lo guida tra le possibili alternative fino ad accompagnarlo alla scelta più corretta per il suo profilo di rischio.Senza questo filtro, che è la vera consulenza che si offre la cliente, non c’è motivo di richiedere una contropartita economica: “no filtro, no money” ha ben sintetizzato Spada ricordando che proprio questo meccanismo spiega la retrocessione (a volte significativa) di commissione al distributore del servizio finanziario (questo non tenendo conto di eventuali aspetti patologici o di vera e proprie prepotenze quando il distributore è la capogruppo …).

Resoconto-Compliance-in-Banks-2010 8

Business e Compliance: due facce della stessa medagliaIl mondo dei servizi di investimento si basa, come detto, sul rapporto di fiducia tra le parti il che richiede di agire secondo l’interesse del cliente. Business e compliance sono dunque due angoli visuali dello stesso mondo; ciò richiede all’intermediario di:

conoscere i prodotti finanziari; conoscere i clienti; orientare gli investitori.

Attenzione alle letture “riduzioniste” ha sottolineato Spada che spesso rischiano di trasformarsi in letture “negazioniste”: chi cerca di dimostrare di fare solo execution only per sfuggire al responsabilità e agli adempimenti in realtà mina il suo ruolo nel mercato “poca responsabilità significa poco business” ha ben sintetizzato Spada.

Se è vero che le scelte strategiche dell’intermediario sono rimesse all’autonomia imprenditoriale degli operatori tuttavia esse hanno un’immediata e diretta rilevanza sul “rischio di compliance”dell’impresa e di conseguenza influiscono sul livello di rischio di vigilanza da gestire da parte dell’Autorità.Molto importante a riguardo conoscere quanto prevede la delibera CONSOB n. 17297 del 2010 http://www.consob.it/main/documenti/Regolamentazione/normativa/reg17297.htm e quanto indicato nelle “Linee guida interassociative per l’applicazione delle misure Consob di livello 3 in tema di prodotti finanziari illiquidi” realizzate da ABI, Assosim e Federcasse http://www.creditocooperativo.it/archivio/50554.PDF e validate da CONSOB http://www.consob.it/main/documenti/news/2009/anno_xv_n-32_10_agosto_2009.htm?hkeywords=&docid=0&page=0&hits=1#3 .

La Compliance nei servizi di investimento: alcune scelte di campoNella terza parte del suo intervento Spada ha esaminato alcune tipiche “aree grigie” rilevate spesso durante le ispezioni CONSOB e sulle quali è opportuno un “ripensamento”:

budget fondati su esigenze dell’intermediario (ad es., esigenze di liquidità della banca) e non sui bisogni della clientela;

non valorizzazione del data-base sul profilo-clienti per adeguatezza; campagne prodotto; incentivi al personale su criteri quantitativi di prodotto; pricing dei propri servizi: consulenza “gratuita” e retrocessione di commissioni.

Ad esempio è necessario allineare gli interessi ed evitare il conflitto di interessi: pricing, budget e politiche incentivanti basati su volumi e prodotti possono predisporre alla violazione delle regole di condotta.Al contrario un migliore allineamento agli interessi del cliente porta a minori conflitti e a minori rischi di condotte non conformi, dunque a una stabilizzazione dei proventi.A riguardo, e a coclusione del suo intervento, Spada ha citato Peter F. Drucker http://it.wikipedia.org/wiki/Peter_Drucker : “La qualità in un prodotto o servizio non è ciò che il fornitore vi mette. È ciò che il cliente ne ricava e per cui è disposto a pagare. Un prodotto non è di qualità perché è difficile da fare e costa molti soldi, come i produttori tipicamente credono. Questa è incompetenza. I clienti pagano solo per ciò che è utile per loro e dà loro valore. Nient'altro costituisce la qualità”.

Resoconto-Compliance-in-Banks-2010 9

Rubens Sanna, Presidente Commissione Compliance AIBE – Associazione Banche Estere in Italia, Compliance Officer BNP PARIBAS - Le specificità di compliance delle banche estere in Italia

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/89/ - solo utenti registrati)

“Le banche estere in Italia sono una realtà composita e variegata” ha esordito il dottor Sanna, di AIBE http://www.banchestere.it/.Nella definizione di banche estere si possono ricomprendere, infatti, varie categorie di attori molto attivi nel mercato italiano:

succursali di banche comunitarie; succursali di banche extra- comunitarie; filiazioni di banche comunitarie ed extra-comunitarie; uffici di rappresentanza; banche comunitarie ed extra-comunitarie che operano in “libera prestazione di servizi”.

La relazione si è concentrata, in particolare, sulle succursali di banche comunitarie: entità di diritto estero la cui sede principale è in un paese dell’Unione Europea. I dati sono:

72 succursali insediate (dati 2009) il trend dell’ultimo decennio è crescente 35 nel 2000, 47 nel 2005 221 sportelli (dati 2009) forte incremento nella seconda metà del decennio (59 nel 2000, 80 nel 2005) prevalentemente Corporate & Investment Banks pochissimi attori operano nel Retail Banking la presenza sul territorio è concentrata su Milano ed in misura minore Roma, poco

significativa nel resto dell’Italia si sta progressivamente passando da un modello organizzativo “territoriale” ad un modello

per “aree di business”.

Il contesto normativo di riferimento per le succursali di banche comunitarie è in apparenza è molto simile a quello delle banche italiane; comprendono T.U.B., Istruzioni di vigilanza, T.U.F. nonché la regolamentazione trasversale quale antiriclaggio/antiterrorismo, Privacy, d.lgs. 231/01.Esistono tuttavia delle specificità; la prima è il principio dell’Home Country Control http://it.wikipedia.org/wiki/Home_country_control (o regola del paese di origine) una norma del diritto comunitario, riferita ad un mercato comune di un bene o servizio, che indica quale legislazione di uno stato membro si deve applicare. In base a tale principio le succursali di banche estere (in particolare le Comunitarie) sono sottoposte ad un regime di “vigilanza limitata” sia per ciò che concerne la vigilanza regolamentare sia per ciò che concerne la vigilanza ispettiva. La procedura autorizzativa è molto snella, in particolare, per i servizi ammessi al mutuo riconoscimento; i regolatori locali dettano regole organizzative e patrimoniali minime; il sistema dei

Resoconto-Compliance-in-Banks-2010 10

controlli interni è definito dal regolatore del paese d’origine e vi è una limitata potestà ispettiva locale.

Viceversa ha fatto notare Sanna l’Host Country control rimane un caposaldo per:

la tutela degli interessi della clientela; le “regole di condotta”; la protezione dell’investitore / correntista; Centrale dei Rischi; assunzione di partecipazioni rilevanti; Responsabilità amministrativa; Privacy; abusi di mercato; Antiriciclaggio e finanziamento del terrorismo.

In questi casi (ed altri) le succursali di banche comunitarie sono parificate a quelle italiane senza alcuna distinzione.Ciò significa che la funzione di Compliance anche nelle banche estere è una funzione strategica che opera in un contesto di ulteriore complessità legata al Boundary-less Business Model cioè ad un modello di business senza confini geografici o normativi e dunque legato alla internazionalizzazione delle attività da verificare.

La struttura e l’organizzazione della funzione di Compliance nelle succursali di banche estere dipendono anzitutto da:

dimensione della succursale; mercati e prodotti di riferimento; linee di business presenti localmente; tipologia di clientela target; livello di integrazione con la casa madre.

Ad un più alto livello di ciascuna delle dimensioni sopraelencate si associa una funzione di compliance locale più strutturata, dimensionata ed autonoma.

La funzione di Compliance nelle succursali di banche estere generalmente agisce su due piani:

1. ex ante (approvazione di operazioni, approvazione di relazioni, validazione nuovi prodotti / attività, training del personale, pareri interpretativi, attività consulenziale, approvazione di procedure, contribuzione alla definizione di processi);

2. ex post: controlli di 2°livello, risk assessment, risk monitoring, revisioni periodiche.

La particolarità è che si hanno come riferimento relazioni, processi, business, attività che possono essere svolti solo in parte in Italia.

In conclusione del suo intervento Sanna ha parlato delle sfide per la funzione Compliance delle banche estere; sfide che nascono dall’ampliamento dell’offerta di prodotti e servizi offerti, dalla ridefinizione dei target di clientela, dal contesto normativo e regolamentare principle-based e continuamente in evoluzione.Per affrontare queste sfide è fondamentale il maggiore coinvolgimento ed utilizzo delle strutture associative.

Resoconto-Compliance-in-Banks-2010 11

Aida Maisano, Direttore, ABIFormazione - La certificazione ABI delle conoscenze e abilità di gestione della compliance

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/88/ - solo utenti registrati)

La dottoressa Maisano ha presentato con passione il nuovo progetto di certificazione ABI delle competenze professionali di gestione della compliance bancaria attraverso il quale si attesta e riconosce il possesso delle conoscenze, delle abilità e delle competenze di coloro che in banca operano nella funzione o nel processo di compliance.Il progetto ha preso avvio dal successo ottenuto con il percorso professionalizzante per la compliance in banca e dall’esperienza nei progetti internazionali di certificazione sviluppati da ABIFormazione all’interno di EBTN Asbl, http://www.ebtn.eu associazione no profit degli istituti europei di formazione bancaria e finanziaria.L’iniziativa si è focalizzata sulla mappa delle conoscenze, abilità e competenze, sia metodologiche sia di ruolo, relative alla gestione della compliance bancaria, così come definita con la collaborazione di un gruppo di esperti bancari e validata a livello europeo nel progetto CERTIFIED (CERTIfication & Accreditation System for FInancial Services Sector EDucation and Training http://www.certifiedebtn.eu/), sostenuto e finanziato dalla Commissione UE.

Maisano ha poi ricordato la provenienza degli “studenti” della prima sessione di certificazione ABI in Compliance Management del 16 giugno 2010:

21% legale/normativa 34% responsabili compliance 4% rischi 41% addetti compliance

I processo di certificazione sulla Compliance di ABIFormazione si compone di due parti:

1. la prima è finalizzata alla verifica delle conoscenze in materia di compliance, mediante un test a scelta multipla;

2. la seconda parte è finalizzata a testare le abilità e competenze di gestione del rischio di compliance mediante la soluzione di un case study.

Dall'anno prossimo, ha annunciato Maisano, avranno la possibilità di accedere alle sessioni di certificazione anche i compliance officers che non hanno partecipato ai corsi di ABIFormazione ma hanno sviluppato le proprie competenze in azienda..

Resoconto-Compliance-in-Banks-2010 12

Seconda sessione - Le metodologie: valutare il compliance risk

11 novembre 2010, ore: 14.00 – 16.15

Interventi:

Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI, Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP

Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo

Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di Compliance

Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture - Compliance Risk Management: approccio alla valutazione del rischio di non conformità

Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico Meloni, Ufficio Coordinamento Compliance Federcasse - l’evoluzione del servizio ABICS verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo

Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - la misurazione del Rischio di non conformità finalizzata all’ICAAP: l’esperienza di una piccola Banca.

Di seguito la sintesi degli interventi.

Resoconto-Compliance-in-Banks-2010 13

Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI, Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/98/ - solo utenti registrati)

Il dottor Torriero ha condotto, in qualità di chairman, la seconda sessione del convegno “Compliance in Banks 2010”, sessione dedicata agli aspetti metodologici della gestione del rischio di compliance.Dopo aver presentato e ringraziato i relatori, Torriero ha svolto un breve intervento dedicato al contributo della Funzione Compliance all’Internal Capital Adequacy Assessment Process (ICAAP). La relazione del dottor Torriero si è articolata in 3 parti:

1. Funzione Compliance: quale ruolo oggi?2. I possibili contributi della Compliance all’ICAAP.3. Alcune domande.

Funzione Compliance: quale ruolo oggi?Torriero ha ricordato che nel 2007 con l’istituzione nelle banche della Funzione di Compliance (FC) si è completato l’assetto del Sistema dei Controlli Interni (SCI) in banca che la vigilanza aveva già anticipato ed ipotizzato a cominciare dal 1998.Lo SCI si articola in 3 livelli di controllo:

1. di linea, preventivi (primo livello);2. sulla gestione dei rischi, preventivi (secondo livello);3. di revisione interna, a posteriori (terzo livello).

Come è noto, Banca d’Italia colloca la funzione di Compliance (ed il Risk Management) tra i controlli preventivi di 2° livello sulla gestione dei rischi assegnando ad essa compiti e responsabilità ben specifici.Sono però possibili, ha osservato Torriero, diverse implementazioni pratiche a fronte dei principi guida indicati dalla vigilanza.

Una prima ipotesi realizzativa prevede di strutturare la Compliance come funzione organizzativa ben specifica e distinta a connotato più legale e di controllo operativo; in questa ipotesi la funzione di Compliance non sempre giunge o contribuisce ad una qualche valutazione/misurazione dell’esposizione ai rischi legali e reputazionali. In questo caso è, prevalentemente, il Risk management che presidia la misurazione dell’esposizione ai rischi legali, in quanto facenti parte dei rischi operativi e sebbene in aumento sono per ora ancora poche le interrelazioni organizzative, interscambi e collaborazioni con la funzione di Compliance.

Una seconda ipotesi prevede invece di far “convivere” Compliance e Risk Management all’interno di un’unica struttura organizzativa di “Risk management/controlling” nella quale integrare le

Resoconto-Compliance-in-Banks-2010 14

attività svolte dalle due funzioni. Ma anche in tal caso, ha osservato Torriero, “vista la dimensione mediamente più contenuta delle strutture, non sempre si realizza uno sviluppo dell’azione della funzione di Compliance secondo tutti i classici step della gestione rischio”.Una completa gestione del rischio comporta infatti:

1. identificazione;2. valutazione/misurazione;3. monitoraggio;4. mitigazione.

Specie il secondo punto (valutazione/misurazione) viene spesso trascurato dalla Compliance e delegato al Risk Management sotto l’ipotesi organizzativa sopra indicata.

I possibili contributi della Compliance all’ICAAP Torriero ha sottolineato che l’ICAAP è il processo più rilevante della banca dal punto di vista gestionale poiché è deputato al “sano e prudente” governo della banca, con obiettivi di individuazione, valutazione, mitigazione e monitoraggio, rendicontazione/reportistica dei rischi corsi correntemente e in futuro.Per tale motivo, ha rimarcato Torriero, l’ICAAP esige il contributo, la partecipazione, la collaborazione e l’integrazione di molte, se non di tutte le funzioni aziendali, in particolar modo quelle di controllo tra cui soprattutto (ma non solo) il Risk Management.

Le disposizioni di vigilanza consigliano di scomporre l’ICAAP in quattro fasi anche se ciascuno intermediario, in omaggio al principio di proporzionalità, può modulare il processo secondo le proprie esigenze:

1. individuazione dei rischi da sottoporre a valutazione;2. misurazione/valutazione dei singoli rischi e del relativo capitale interno;3. misurazione del capitale interno complessivo;4. determinazione del capitale complessivo e riconciliazione con il patrimonio di vigilanza.

ABI però, come riportato nel “Libro bianco sul Pillar 2” realizzato nel settembre 2008, ha proposto anche un approccio più dettagliato rispetto al quale Torriero ha mostrato alcune matrici che incrociano le fasi del processo (13) con gli attori coinvolti (9) indicando in ciascun incrocio se l’apporto riguarda esecuzione, approvazione, etc. Successivamente Torriero ha indicato quali sono le fasi del processo di Compliance (ispirandosi al paper del Comitato di Basilea sulla compliance dell’aprile 2005, principio 7):

1. pianificazione2. consulenza3. linee guida4. identificazione5. valutazione6. formazione7. mitigazione monitoraggio

“Appaiono da subito evidenti le concordanze con alcune delle fasi dell’ICAAP” ha sottolineato Torriero. È chiaro allora quale possa essere il contributo della Compliance nella gestione dei rischi propri in ottica ICAAP.

Resoconto-Compliance-in-Banks-2010 15

“L’identificazione e la valutazione del rischio compliance sono tipiche attività di gestione del rischio e quindi anche dell’ICAAP, che richiedono la collaborazione e il contributo di altre funzioni aziendali, tra cui certamente almeno il Risk Management.La mitigazione e il monitoraggio del rischio compliance, delle aree critiche in termini di esposizione e di controllo nonché il monitoraggio degli interventi di mitigazione previsti sono attività di supporto alla rendicontazione e al processo ICAAP: si pensi alla fase dell’autovalutazione del sistema di governo dei rischi con cui la banca identifica le aree di miglioramento e presidia la realizzazione degli interventi di evoluzione pianificati nei periodi precedenti da inserire nella rendicontazione ICAAP annuale”.Sono possibili diverse ipotesi di collaborazione tra il processo Compliance ed il processo ICAAP:

1. la Compliance interviene solo sui rischi che le sono propri (legale e reputazionale);2. la Compliance interviene più in generale sul complessivo processo ICAAP (approccio in

parte invocato da alcune comunicazioni di Bankit);3. la Compliance interviene su entrambi i fronti.

Una cosa però va chiarita subito ha detto Torriero: “per il rischio di compliance nell’ICAAP non si deve prevedere altro capitale aggiuntivo poiché il rischio legale/da sanzioni regolamentari è già inserito nei rischi operativi e il rischio reputazionale non genera necessità aggiuntive di capitale ma solo di controllo dello stesso”.In conclusione Torriero ha rimarcato che anche per l’ICAAP – sebbene processo interno (e quindi con un certo numero di gradi di libertà insiti nella normativa per principi che lo caratterizza) – esiste l’esigenza di essere conforme. Ecco quindi la possibilità (non la necessità ha sottolineato Torriero) di un ruolo di sostegno della FC al complessivo processo ICAAP, sostegno che forse è più significativo se interviene in fase di progettazione e messa a punto del processo stesso.

Alcune domandeNella terza ed ultima parte del suo intervento Torriero ha posto una serie di quesiti per l’elaborazione comune e futura.

1. Quanto è diffuso questo tipo di approccio proattivo alla razionalizzazione complessiva e conformità dell’intero processo ICAAP, mediante un contributo della FC?

2. Da parte della FC vi è volontà e ci sono risorse per assumersi questo ruolo?3. Quali se del caso le interrelazioni con l’Internal Audit?

Resoconto-Compliance-in-Banks-2010 16

Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/87/ - solo utenti registrati)

La relazione della dottoressa Tesio si è articolata in quattro parti:

1. La Compliance in Intesa Sanpaolo2. Modello di RiskAssessment3. L’informativa agli organi sociali e ai comitati4. Focus sul rischio reputazionale – l’aderenza al Codice Etico.

La Compliance in Intesa SanpaoloTesio ha iniziato descrivendo la collocazione della funzione di Compliance all’interno del gruppo Intesa Sanpaolo.In sintesi il Sistema dei Controlli prevede tre linee di difesa:

1. prima linea in carico alle direzioni operative2. seconda linea in carico al Chief Risk Officer (CRO)3. terza linea in carico all’Internal Audit.

Il Chief Risk Officer (CRO) risponde al Consigliere Delegato e CEO e a sua volta è articolato in:

Compliance Legale e Contenzioso RiskManagement Presidio Qualità del Credito Validazione Interna.

Passando agli ambiti normativi ci sono norme presidiate direttamente dalla Direzione Centrale Compliance e norme presidiate da altre strutture alle quali sono attribuiti compiti di compliance.

Al primo gruppo di norme appartengono (tra l’altro):

Servizi d’investimento Intermediazione assicurativa e previdenziale Market abuse Trasparenza delle condizioni contrattuali Sistemi di pagamento Responsabilità amministrativa degli Enti Antiriciclaggio.

Resoconto-Compliance-in-Banks-2010 17

Al secondo gruppo di norme appartengono (tra l’altro):

Tutela della privacy Sicurezza sul lavoro Tutela ambientale Tutela della concorrenza.

Passando al modello di governo sul gruppo, la Direzione Centrale Compliance svolge nei confronti delle società del gruppo un ruolo di indirizzo e controllo, mirato a garantire un efficace ed efficiente presidio dei rischi di non conformità a livello di Gruppo. In particolare:

mantiene la responsabilità della definizione delle linee guida e delle regole metodologiche in materia di valutazione, presidio e controllo del rischio di non conformità a livello di Gruppo;

garantisce inoltre l’informativa integrata a livello di Gruppo in merito all’adeguatezza del presidio della conformità.

L’indirizzo e il coordinamento si articola in due modalità:1. Società in service con accentramento del presidio della conformità presso la Capogruppo

che comprende:a. Banche Rete in service che hanno adottato sistema informativo targetb. Società italiane con operatività fortemente integrata con quella di Capogruppo

2. Società in governante e Filiali estere con funzioni di conformità interne e Compliance Officer locale che comprende:

a. Banche Rete in governanteb. Altre Banche e Società Italianec. Banche della Divisione Banche Estered. Banche estere della Divisione Corporate e IBe. Filiali estere di Capogruppo.

Modello di RiskAssessmentNella seconda parte del suo intervento la dottoressa Tesio ha presentato in dettaglio il modello di Risk Assessment utilizzato dalla Direzione Centrale Compliance di Intesa San Paolo.

Partendo dalle logiche va detto subito che la prioritizzazione delle aree intervento nei vari ambiti normativi è definita sulla base della valutazione di:

rischio di non conformità, nelle sue componenti “operativa”e “reputazionale”; presidi del rischio di non conformità posti in essere sia da parte delle unità di compliance,

sia da parte delle unità di business.

Tesio ha poi illustrato gli strumenti ed i dati utilizzati durante il Risk Assessment: ad esempio per le “analisi delle perdite operative del Risk Management” si usa una “matrice associazione perdite operative storiche / ambiti normativi” mentre la “valutazione manageriale per l’applicazione del correttivo di scenario” si utilizza un “questionario di analisi di scenario”.

È importante notare che la valutazione delle perdite operative associate agli eventi rilevanti avviene a partire dall’analisi puntuale degli eventi presenti nel database di Risk Management delle perdite operative, al fine di:

1. escludere eventi non rilevanti ai fini di compliance;2. attribuire le singole perdite agli ambiti normativi.

Resoconto-Compliance-in-Banks-2010 18

Inoltre al fine di incorporare le aspettative di mutamento del contesto di riferimento viene applicato un correttivo di scenario alle perdite storiche, valutato dalle unità di riferimento per le attività di compliance attraverso un “questionario guidato”per ambito normativo.

Per quanto riguarda in particolare la valutazione della componente “reputazionale” del rischio di conformità si utilizza per ciascun ambito normativo un “questionario guidato” da parte delle unità di riferimento per le attività di compliance (anch’essa declinata in ranking).Ciò permette di valutare l’impatto su:

1. Segmenti di clientela interessati2. Numero clienti3. Volumi su specifico prodotto/ ramo interessato4. Volumi su altri prodotti / rami5. Brand6. Manager della Banca7. Altro personale della Banca8. Sanzioni e perdita di credibilità verso l’Autorità di Vigilanza.

In conclusione del processo i dati sono rappresentati attraverso una matrice di sintesi che riporta sull’asse delle ascisse i presidi e su quello delle ordinate il rischio “potenziale”; i valori rilevati si riferiscono alle normative analizzate.Questo approccio metodologico, ha spiegato la dottoressa Tesio, si è evoluto ed affinato nel corso degli anni a cominciare dal 2008. Ovviamente ci sono state modifiche ed innovazioni.Ad esempio per quel che riguarda l’associazione perdite/normativa si è passato da un approccio prevalentemente parametrico a quello prevalentemente “puntuale” per consentire una miglior valutazione delle perdite associate a ciascun ambito normativo; inoltre il modello è stato “derelativizzato” con la sostituzione dei quartili con indici e indicizzazione a valori assoluti, ciò per permettere la ponderazione perdite storiche / analisi di scenario, eccetera.

L’informativa agli organi sociali e ai comitatiNella terza parte del suo intervento la dottoressa Tesio ha illustrato le modalità di reporting da parte della funzione di Compliance agli organi sociali e ai comitati.I flussi informativi, come sempre i questi casi, sono numerosi e spesso corposi. Inoltre da subito è nata l’esigenza di integrare e sintetizzare la reportistica con quella proveniente dalle altre funzioni di controllo aziendali. È stato così realizzato un Report del “presidio integrato dei rischi operativi e reputazionali” che viene inviato al Chief Risk Officer, al Comitato Compliance e Operational Risk, al Comitato per il Controllo (CdS) e alla Commissione Crediti e Rischi (CdG).Il report contiene:

l’elenco dei “temi da affrontare”con indicazione dei principali punti di attenzione, delle azioni da attivare/decisioni da assumere, dei referenti e delle strutture responsabili;

monitoraggio delle azioni in corso; evidenza dei progetti di Capital Budget 2011 - sotto la responsabilità della struttura del CRO

e di altre funzioni aziendali - rilevanti ai fini della mitigazione dei rischi più significativi.

Focus sul rischio reputazionale – l’aderenza al Codice EticoInfine nell’ultima parte del suo intervento Tesio ha presentato un’attività svolta dalla Direzione Centrale Compliance e relativa ad un approfondimento sul rischio reputazionale mediante un assessment sul grado di rispetto di quanto previsto dal Codice Etico (policy su armamenti, policy su ambiente, piano industriale, piano sociale d’impresa) con un duplice obiettivo:

Resoconto-Compliance-in-Banks-2010 19

1. dal punto di vista “interno” (Compliance): verificare l’organizzazione posta in essere per onorare gli impegni presi;

2. dal punto di vista “esterno”: verificare la qualità della relazione posta in essere con gli stakeholder.

A ciascun principio del codice etico è stato assegnato un punteggio sintetico di rilevanza ricavato da un apposito algoritmo (da 0 a 3).Sulla base del risultato del lavoro, anche in base ad elementi di opportunità e considerazioni interne, si è successivamente definito la lista di priorità da verificare.

Resoconto-Compliance-in-Banks-2010 20

Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di Compliance

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/86/ - solo utenti registrati)

Il dottor Metelli, presidente di AIFIRM http://www.aifirm.com/ l’Associazione Italiana Financial Industry Risk Manager ha trattato il tema dello sviluppo della risk culture in banca che richiede la convergenza tra le attività di compliance e quelle di risk management.La convergenza, ha osservato Metelli, nasce nei fatti perché Compliance e Risk Management parlano lo stesso linguaggio anzi per usare l’espressione del vice direttore generale della Banca d’Italia, la funzione compliance “… opera usando logiche e strumenti tipici delle funzioni di risk management…” (Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 in http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf ).Metelli ha poi ricordato, anche con tono un po’ polemico, il recente documento di CEBS (Committee of European Banking Supervisors),”High-level principles for risk management” che ribadisce l’ABC del risk management per le banche dato che, secondo il CEBS, ci sarebbero gap da colmare nella governance e nella risk culture.Occorre però delimitare bene i ruoli evitando le duplicazioni.Metelli ha poi ricordato che il sistema dei presidi posti in essere per la prevenzione del rischio di riciclaggio e di terrorismo rientra nel perimetro delle funzioni di Compliance/ Risk Management. La logica “risk based” introdotta ad esempio dal d.lgs 231/07 (antiriciclaggio) ha infatti avvicinato le metodologie di controllo antiriciclaggio a quelle proprie di risk management. La lettura del Documento di Consultazione 2010 (Provvedimento Recante Disposizioni Attuative in Materia di Organizzazione, Procedure e Controlli Interni) è illuminante ha detto Metelli: la funzione in argomento [antiriciclaggio] può anche essere attribuita alle strutture che svolgono le funzioni di compliance o di risk management. Le medesime funzioni non possono essere assegnate alla funzione di revisione interna.Secondo Metelli quando si parla Compliance è necessario abbandonare la tradizionale (consolidata, perché meglio basata su esperienza storica) logica dell’Audit per entrare nella logica del business. Il Compliance Manager – pur facendo parte del c.d. Sistema dei Controlli – è un controllore del tutto particolare, che non può intervenire “dopo” (non è sufficiente) ma deve agire “prima” e, ciò facendo, condiziona il business, cioè presidia il risk size del business (o quanto meno di una fetta importante dello stesso).Il dottor Metelli è poi passato ad illustrare la misurazione del rischio di non conformità che usa metriche, regole, infrastrutture tecnologiche e metodologiche di misurazione dei rischi sostanzialmente simili a quelle proprie dell’operational risk management.Anche per il rischio di non conformità occorre effettuare la rilevazione dei dati sulle perdite subite; e anche per tale rischio la tecnica del self assessment è ugualmente spesso utilizzata. Infine stesso approccio si adotta per la valutazione dei rischi e la definizione dei presidi/interventi per la mitigazione del rischio di non conformità e del rischio reputazionale.

Resoconto-Compliance-in-Banks-2010 21

In conclusione del suo discorso Metelli ha parlato della misurazione qualitativa dei rischi. Il rischio reputazionale è spesso misurato con approcci “qualitativi” o comunque “difficilmente quantificabili” e dimensionato tramite assessment soggettivi.La misurazione dei rischi se però non trova una quantificazione oggettiva e trasparente:

non riesce ad inserirsi nei processi gestionali, condizionando il business; diventa un rischio nominale, sopportato solo perché esiste, non mitigabile.

Di conseguenza Metelli propone a Risk Manager e Compliance Manager di costituire un tavolo tecnico comune per mettere insieme esperienze e definire criteri oggettivi, estendendo l’iniziativa ai gestori dell’ICAAP.

Resoconto-Compliance-in-Banks-2010 22

Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture - Compliance Risk Management: approccio alla valutazione del rischio di non-conformità

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/85/ - solo utenti registrati)

L’intervento del dottor Bocchini si è articolato in tre parti:

1. Contesto di riferimento;2. Approccio al Compliance Risk Assessment;3. Considerazioni conclusive.

Contesto di riferimentoNella prima parte del suo intervento Bocchini ha ricordato la tumultuosa evoluzione del quadro normativo e regolatorio per gli intermediari bancari e finanziari sia a livello internazionale sia nazionale. Si è affermato inoltre un nuovo approccio normativo basato più sulla definizione di principi che di regole puntuali. Infine si registrano aree di sovrapposizione da gestire tra normative differenti.Tutto ciò comporta che spesso i percorsi di adeguamento normativi hanno impatti spesso invasivi su organizzazione, processi e strumenti a supporto.Bocchini ha poi riportato una serie di dati e statistiche sulle ispezioni e le sanzioni: ad esempio per quel che riguarda la Banca d’Italia nei primi cinque mesi del 2010 sono già stati avviati 138 sopralluoghi ispettivi (67% di tutto il 2009) con specifici approfondimenti che hanno interessato la liquidità, le strutture e i processi di controllo interno, i presidi organizzativi.

Approccio al Compliance Risk AssessmentAffrontanto la parte metodologica del suo intervento Bocchini ha ricordato che nel Compliance Risk Assessment si deve evidenziare il rischio effettivo o residuo da “calcolare” come differenza tra il rischio potenziale meno i presidi/controlli.

Il primo passo è identificare dunque i rischi potenziali attraverso una mappatura dei rischi per normativa. In questa fase è opportuno appoggiarsi a provider esterni per il catalogo degli adempimenti normativi e dei rischi collegati anche per avere garanzia dell’aggiornamento periodico degli adempimenti per le normative in ambito.Per quanto riguarda la misurazione del rischio potenziale, tale rischio è la somma di 2 componenti:

1. componente operativa o rischio di incorrere in sanzioni giudiziarie o amministrative e perdite finanziarie rilevanti in conseguenza di violazione di norme imperative (legge, regolamenti) o di autoregolamentazione;

2. componente reputazionale o rischio di sostenere un aggravio di perdite finanziarie derivanti dalla percezione di comportamenti contrari alle norme ovvero ai principi di riferimento su cui si fonda il modello di business e la relazione con la clientela.

Resoconto-Compliance-in-Banks-2010 23

Per valutare l’efficacia dei presidi a mitigazione del rischio occorre “sommare” due componenti:

1. valutazione ex-ante;2. valutazione ex-post.

La valutazione ex-ante si basa sull’analisi di esistenza / completezza dei presidi/ controlli a copertura dei diversi rischi. Esempi di variabili da analizzare possono essere:

esistenza/ aggiornamento normativa interna presenza di controlli automatici nelle procedure IT formazione per prevenire comportamenti non conformi.

La valutazione ex-post si basa sull’analisi delle evidenze dei controlli di II e III livello volti a verificare l’effettiva applicazione delle norme interne e l’efficacia dei presidi/ controlli previsti nel prevenire situazioni di non conformità.La valutazione ex post viene fatta direttamente dalla funzione di Compliance sulla base delle evidenze dei controlli svolti sia direttamente che indirettamente (evidenze da Internal Audit).Sia la valutazione ex-ante che quella ex-post vanno fatte con riferimento ai singoli rischi identificati sugli ambiti normativi considerati (approccio bottom up).

Il risultato finale è una matrice del rischio potenziale che riporta la copertura presidi/controlli per valutazione del rischio residuo.Le normative che evidenziano, nella matrice, un posizionamento con alto rischio potenziale e valutazione bassa su presidi/controlli sono quelle su cui la banca deve intervenire in modo prioritario.

Considerazioni conclusiveEsistono nella pratica operativa diverse modalità per approcciare al Compliance Risk Assessment. Al di là del modello prescelto, secondo Bocchini, elemento fondamentale è riuscire a coinvolgere nel processo le diverse funzioni aziendali che possono contribuire ad una migliore valutazione del cd. “rischio residuo”:

Risk Management (condivisione approccio metodologico e analisi dati di perdita per valutazione componente operativa del rischio)

Referenti Business (valutazione possibili ricadute commerciali connesse a eventi di non conformità)

Process/ Control Owner (o anche Operational Risk Manager distribuiti sul territorio) per autovalutazione presidi di primo livello

Internal Audit per acquisizione elementi rilevanti da controlli indipendenti di terzo livello Altre funzioni aziendali per inclusione eventuali ulteriori elementi di valutazione (es.

reclami clientela, cause legali, evidenze Autoritàdi Vigilanza, ecc).

Importante, infine, la piena integrazione del Compliance Risk Assessment nel processo di gestione del rischio di conformità:

evidenze del Compliance Risk Assessment devono costituire l’input principale per l’approntamento del Compliance Plan annuale;

no ad esercizio una tantum ma monitoraggio periodico del rischio residuo sulla base delle evidenze dell’attività di Assurance svolta direttamente dalla funzione Compliance e/o in collaborazione con l’Internal Audit.

Resoconto-Compliance-in-Banks-2010 24

Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico Meloni, Ufficio Coordinamento Compliance Federcasse - L’evoluzione del servizio ABICS verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/84/ - solo utenti registrati)

La relazione tenuta insieme da Marco Pigliacampo (ABIFormazione) e Federico Meloni (Federcasse) ha presentato l’implementazione di ABICS 2.0 - Sistema In House presso Federcasse.Progettato e realizzato da ABIFormazione e dal Gruppo Engineering, ABICS 2.0 In House consente l'utilizzo in azienda delle informazioni erogate dal servizio ABICS.L’intervento è iniziato con Marco Pigliacampo che ha rapidamente indicato le novità di ABICS 2.0.Rispetto al servizio on line, ABICS 2.0 consente un utilizzo dei contenuti più efficace in chiave gestionale.Le innovazioni funzionali presenti nel sistema In House, infatti, permettono di:

inserire nel sistema una mappa dei processi personalizzata, in modo strutturale e senza perdere il valore aggiunto delle analisi di impatto delle norme, grazie a una apposita tabella di raccordo della mappa con l’albero standard dei processi bancari;

censire l’organigramma aziendale e associare alle Unità Organizzative i processi bancari e, quindi, i rischi di compliance che li impattano, in modo da attribuire i rischi agli specifici gestori aziendali;

inserire documentazione aziendale e collegarla alle disposizioni normative, consentendo di integrare la norme esterne con le regole interne;

ottenere valutazioni aziendali dei rischi di compliance, sia a livello inerente sia a livello residuo, mediante la valorizzazione di apposite matrici su cui inserire valutazioni riguardo a: probabilità degli eventi di rischio, severità degli impatti, efficacia dei presidi di conformità;

gestire autonomamente gli utenti con accesso al sistema, in modo da poter distribuire direttamente le credenziali di accesso alle persone della propria azienda.

Il sistema, inoltre, consente la personalizzazione del layout grafico, ad esempio con l’aggiunta del logo aziendale, ed è predisposto per consentire progetti di interoperabilità con le piattaforme GRC (Governance, Risk & Compliance) eventualmente presenti in banca. In particolare, le banche dotate del sistema In House possono trasferire i contenuti del servizio verso i sistemi IT aderenti al progetto “Inter-operabilità ABICS 2.0”.

Meloni ha spiegato i motivi che hanno portato alla scelta di ABICS 2.0.Federcasse, nel corso del 2008, era interessata a far sì che il sistema del Credito Cooperativo italiano, di cui promuove gli interessi di categoria, potesse avvalersi di un valido strumento per la gestione dei c.d. “rischi di conformità”. Dopo una valutazione delle possibili alternative presenti sul mercato Federcasse ha scelto ABICS optando per la realizzazione di una versione personalizzata denominata “ABICS CC” (ABI Compliance System Credito Cooperativo).

Resoconto-Compliance-in-Banks-2010 25

ABICS CC è, quindi, oggi l’applicativo della Compliance del Credito Cooperativo personalizzato per tener conto delle peculiarità delle Banche di Credito Cooperativo.

I punti di forza di ABICS CC sono: la trasmissione continua di alert sulle novità normative e sui processi di produzione di nuovi

provvedimenti regolamentari; l’aggiornamento degli inventari normativi (“legal inventories”); una gestione della compliance ancora più efficace ed efficiente in termini di analisi

normativa e la ricaduta degli impatti sui processi bancari propri del Credito Cooperativo; la possibilità di personalizzare, secondo l’esigenza propria delle Banche di Credito

Cooperativo, l’applicativo rilasciato da Abiservizi.

Tali personalizzazioni del sistema ABICS CC hanno consentito e consentono: l’inserimento anche di circolari interpretative di Federcasse riferibili sia alle disposizioni

generali trattate sia agli articoli delle stesse; le analisi di impatto delle norme sui processi bancari propri del Credito Cooperativo; una visione immediata e puntuale del sistema sanzionatorio legato al precetto normativo e la

possibilità di conoscere il rischio reputazionale per processo “personalizzato”; la possibilità di ricondurre il rischio reputazionale all’owner del business aziendale.

Nel dettaglio le principali funzioni di ABICS CC sono: News Servizio di Alerting Consultazione Legal Inventory Consultazione Processi Risorse documentali.

Le news riguardano sostanzialmente il rilascio o l’aggiornamento di contenuti normativi.Gli Alerts trattano le informative sui processi di produzione di nuovi provvedimenti normativi che possono eventualmente impattare sulla gestione della compliance in banca (Direttive Europee, Disegni di Legge, Decreto Legge, Documenti in consultazione proposti dalle Autorità di settore, eccetera).La funzione di Consultazione Legal Inventory consente di procedere alla ricerca delle disposizioni normative d’interesse o che rispondono a determinate caratteristiche.

La funzione Consultazione Processi consente all’utente di navigare all’interno di una mappa che rappresenta i processi bancari, ciò al fine di individuare le disposizioni normative che impattano sui processi.Selezionando un processo, si ottiene l’elenco delle disposizioni che lo impattano direttamente. Le disposizioni sono ordinate per Argomento; per ognuna di esse è visibile: Argomento, Fonte normativa, Riferimento della disposizione, abstract del testo della disposizione, eventuale icona con la valutazione di rischio e con la possibilità di accedere alla relativa “Scheda Rischio”.Per agevolare la consultazione delle disposizioni che impattano il processo selezionato, sono disponibili tre filtri di ricerca relativi a: Sanzione prevista; Sanzioni con particolari rischi reputazionali; Strumenti informativi per la clientela.Navigando nell’ambito della funzionalità, inoltre, è possibile accedere ad altre informazioni quali:

Dettaglio del processo: si intendono informazioni relative al processo selezionato, quali: la Descrizione del processo, il nominativo di un eventuale Responsabile del processo (process owner);

Resoconto-Compliance-in-Banks-2010 26

i riferimenti che riguardano l’Unità Organizzativa a cui è eventualmente affidata la responsabilità del processo.

Annotazioni: si intendono note associate al processo. Allegati: si intendono file (documenti, tabelle, schemi, etc.) associati al processo.

Meloni si è poi soffermato sulle personalizzazioni possibili in ABICS CC.La principale personalizzazione effettuata dal Credito Cooperativo è stata quella di sostituire l’albero dei processi bancari “standard”, rilasciata in ABICS, con l’albero dei processi delle Banche di Credito Cooperativo.È stata creata, quindi, una tabella di raccordo che consente di associare ai processi bancari del Credito Cooperativo tutte le disposizioni normative trattate in ABICS.È quindi possibile:

modificare le associazioni documentali ai processi aggiungere nuovi impatti e/o cancellare impatti tra quelli presenti modificare gli impatti organizzativi erogati dal servizio ABICS inserire un testo di “descrizione del rischio per ogni impatto di una disposizione su un

processo aziendale.

La versione personalizzata di ABICS CC consente anche di inserire nell’ambito di ciascuna disposizione normativa trattata “proprie” risorse documentali, ad esempio circolari, e associarle quindi:

non solo alla disposizione normativa, ovvero all’articolo della stessa ma anche al processo organizzativo impattato dalla disposizione normativa.

È possibile, inoltre, creare nuove Risorse Documentali aziendali, che si aggiungono a quelle erogate dal servizio ABICS (che contengono brani tratti da Circolari ABI o da Comunicazioni delle Autorità di settore).Nelle risorse è possibile inserire non solo testo, ma anche link a pagine Intranet o documenti aziendali consultabili dagli utenti.

Resoconto-Compliance-in-Banks-2010 27

Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - La misurazione del rischio di non conformità finalizzata all’Icaap: l’esperienza di una piccola Banca(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/99/ - solo utenti registrati)

Il dottor Pogliaghi ha fatto, nel suo intervento, un breve excursus sull’evoluzione della funzione di Compliance dalle prime indicazioni giunte dall’organo di vigilanza alla fine degli anni 90 fino alle recenti disposizioni di Banca d’Italia e Consob nel 2007 sottolineando, in particolare, gli aspetti di interrelazione fra Compliance e funzione di Risk Management.Secondo Pogliaghi è chiaro che, specie negli intermediari di piccole dimensioni, Compliance e Risk Management possono convivere anche nella stessa struttura organizzativa purché ne sia chiarito il mandato e garantita l’indipendenza.

Scrive infatti Banca d’Italia nella circolare. n° 688006 del 10/07/2007: “Le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento di tale funzione alle strutture già esistenti incaricate della gestione dei rischi…oppure ancora a soggetti terzi (esternalizzazione)”, …”purché dotati dei requisiti idonei in termini di professionalità ed indipendenza”. “In ogni caso deve essere nominato un responsabile della funzione all’interno dell’azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente”.Ciò premesso qual è l’approccio per la migliore gestione del rischio di non conformità?Sono possibili diversi approcci:

1. per normativa;2. per processi bancari;3. approccio per norme e processi bancari.

Molti intermediari privilegiano l’approccio per normativa che però, francamente, dice Pogliaghi non offre un gran valore aggiunto né appare particolarmente innovativo.Nell’approccio per normative gli attori coinvolti (al minimo) sono:

1. Process Owner2. Compliance Officer3. Responsabile Organizzazione

La finalità è garantire che la banca adotti procedure e prassi conformi alla normativa esterna prima: dell’entrata in vigore di una nuova normativa; dell’ingresso in un nuovo mercato (area geografica o segmento di prodotto).

In questo caso le metodologie che possono adottarsi sono: Analisi di impatto, Risk Self Assessment, ecc. mentre gli strumenti possibili sono: ABICS, ecc.Ma qual è in questo caso l’elemento di novità per le banche? Nessuno, sostiene Pogliaghi.Nell’approccio per processi bancari gli attori coinvolti (al minimo) sono:

1. Compliance Officer2. Risk Manager3. Process Owner

Resoconto-Compliance-in-Banks-2010 28

La finalità è controllare / misurare l’esposizione al rischio di non conformità della banca sia alla normativa esterna sia alla normativa interna.

Le metodologie: Controlli a campione e per eccezione, Control Risk Self Assesment…Gli strumenti: ABICS; Strumenti di Risk Management similari alla misurazione dei Rischi Operativi (modelli interni di misurazione dei Rischi operativi AMA verso BIA)Qui c’è un vero elemento di novità per le banche, secondo Pogliaghi: la misurazione della non conformità quale parte integrante del processo ICAAP e conseguente valutazione dell’adeguatezza del capitale a fronte delle mancate conformità riscontrate.

Pogliaghi ha poi ricordato la circolare di Banca d’Italia n° 0228112/10 del 23 marzo 2010 che recita: “7.Rischi più difficilmente quantificabili: se ritenuti rilevanti per l’operatività aziendale, gli intermediari forniscono una descrizione della natura e delle cause sottostanti a questi rischi e una illustrazione delle relative procedure organizzative di gestione e controllo. Di norma, ci si aspetta che un’eventuale quantificazione di capitale interno sia basata sull’impiego di metodologie robuste e documentate”.In questo ambito, ad avviso di Pogliaghi, si colloca la misurazione del rischio di non conformità da esplicitarsi all’interno del documento ICAAP.

Altra domanda fondamentale: come si misura la reputazione di una azienda? Purtroppo, ironizza Pogliaghi, solo post mortem cioè solo a seguito della cessione dell’azienda quando il mercato valuta il valore della stessa.Pogliaghi ha poi mostrato una schema riassuntivo delle possibili sanzioni penali, civili ed amministrativi che riguardano le banche.Infine il dottor Pogliaghi ha descritto le attività della funzione di Compliance presso la BCC in cui opera spiegando le modalità con cui vengono effettuale le verifiche.La banca adotta un approccio “per processi bancari” alla misurazione del rischio di non conformità che è inoltre finalizzato all’ICAAP.

Ad oggi per quanto concerne la misurazione del rischio di “non conformità” la BCC di Carugate ha sottoposto a verifiche i seguenti processi:

Finanza; Risparmio; Tesoreria – Enti Pubblici; Informativa verso l’esterno / contabilità e segnalazioni.

Seguiranno presto i seguenti processi: Credito; Gestione delle Infrastrutture e spese; Gestione delle risorse umane; Antiriciclaggio (come se fosse processo a sé stante e questo anche secondo la recente

rivisitazione normativa di Banca d’Italia, estate 2010); Marketing.

A conclusione del suo intervento anche Pogliaghi ha ricordato le parole di Anna Maria Tarantola, vice direttore generale di Banca d’Italia in un suo intervento pubblico del 2007 (“La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie” in http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf): “la compliance deve rappresentare la coscienza dell’impresa bancaria”.

Resoconto-Compliance-in-Banks-2010 29

Terza sessione - temi aperti: Compliance & Legal

11 novembre 2010, ore: 16.30 – 18.30

Interventi:

Enrico Granata, Direttore Centrale, Responsabile Area Normativa ABI, chairman della sessione

Graziella Capellini, Head of Compliance Italy Unicredit Group - La Compliance in UniCredit: evoluzione e nuove sfide

Alessandra Perrazzelli, Head of International and Antitrust Affairs Intesa Sanpaolo - Il programma di compliance antitrust di Intesa Sanpaolo

Leandro Polidori, Responsabile Compliance Banca MPS - Compliance, Legale e Controlli Interni in Banca Monte dei Paschi di Siena

Luca Bonzanini, Responsabile Affari Legali e Contenzioso UBI Banca - Rapporti tra Legale e Compliance nel gruppo UBI

Edoardo Pronello, Responsabile Funzione Compliance Banca del Piemonte - La ripartizione tra Compliance e Legale delle attività di consulenza e di validazione dei processi

Di seguito la sintesi degli interventi.

Resoconto-Compliance-in-Banks-2010 30

Graziella Capellini, Head of Compliance Italy Unicredit Group - La Compliance in UniCredit: evoluzione e nuove sfide

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/93/ - solo utenti registrati)

La dottoressa Capellini ha svolto un’esauriente presentazione della funzione Compliance in Unicredit sottolineando come l’attuale conformazione della funzione sia frutto di una evoluzione che continua per rispondere a sempre nuove sfide.

L’evoluzione della funzione Compliance nel Gruppo UniCredit, ha spiegato Capellini, nasce dalla tumultuosa espansione del Gruppo, in particolare all’estero, insieme a quella del contesto di riferimento; ciò ha portato ad un allargamento del perimetro della funzione Compliance in UniCredit sia di tipo geografico che di ruolo.

L’evoluzione della funzione Compliance è avvenuta su due fronti:

1) secondo una direttrice di espansione geografica che ha reso globale un istituto nato con identità locale e nazionale;

2) in seguito all’ampliamento del perimetro delle attività che ha imposto alla funzione di Compliance di passare da un semplice ruolo di advisory a fornitrice di soluzioni a tutto campo (Compliance 360°).

Oggi, nel 2010, il gruppo conta circa 162.000 dipendenti con 9.500 filiali.La funzione di Compliance Globale comprende circa 500 persone (full time equivalent).

La dottoressa Capellini ha poi spiegato le varie fasi che hanno accompagnato il passaggio da una compliance locale (advisory) alla attuale Compliance Globale:

fase “costitutiva” (2004 - 2005)o Advice su richiestao Confronto con le Autorità di Vigilanza

fase di “consolidamento”: indirizzo strategico di Gruppo (2006 - 2010)o Accentramento per l’Italia e indirizzo strategico per l’esteroo Indirizzo progetti prioritari (es. AML, MIFID)o Validazioni preventiveo Compliance Risk Assessment (CAMP)o Avvio attività di controllo

fase di “evoluzione”: rafforzamento processi e razionalizzazione controlli (2010)o Compliance globale (obiettivo: approccio di Gruppo uniforme)o Affinamento metodologie di Risk Assessment (CAMP dinamico)o Estensione Controlli di 2° livelloo Diffusione della cultura di Compliance.

Resoconto-Compliance-in-Banks-2010 31

In particolare Capellini ha sottolineato come da un Compliance Risk Assessment (CAMP) di tipo statico nel 2006 (cioè basato si tecniche di self assessment prettamente soggettive) si sia passati all’odierno CAMP dinamico “alimentato nel continuo dai risultati dei controlli di 2° livello” (e dunque più oggettivo).

Le linee guida della funzione di Compliance in Unicredit si articolano come segue:

due strutture di riferimento, Compliance e Legale; organizzazione a matrice: trade off tra focalizzazione a livello paese e approccio globale; due livelli di reporting, il livello “Paese” e il livello “Business Area”; doppio riporto, riporti gerarchici e funzionali nelle realtà organizzative di Paese con un ruolo

di coordinamento da parte dei ruoli globali di ciascun business.

In conclusione del suo intervento Capellini ha parlato delle nuove sfide della funzione Compliance, sfide che ha così categorizzate e sintetizzate:

Normativeo Maggiore regolamentazione e controllo da parte degli Organi di Vigilanzao Convivenza di sistemi normativi non sempre allineati

Business Modelo Internazionalizzazione dell’attività bancariao Distribuzione di una molteplicità di strumenti finanziari

Sistema dei controllio Sistemi di governo e di controllo dell’attività aziendale o Integrazione delle funzioni di controllo

Clientio Trasparenza nei rapporti con i clienti o Contenimento del costo e incremento della qualità dei servizi.

Le sfide, ha commentato Capellini, devono essere affrontare con interventi su:

Cultura Aziendaleo Policies (codice di comportamento)o Partnership con il business

Comunicazioneo Processio Presidi di controllo ma salvaguardia dell’efficienza e dell’economicità

Risorseo Interventi Quantitativi o Interventi Qualitativi (Skill inventory, training interni, percorsi di carriera)

Struttureo Adeguamenti organizzativi.

“Abbiamo fatto tanto, ma il percorso non è concluso…” ha concluso la dottoressa Capellini “con l’evoluzione del contesto di business, delle regole e delle normative siamo convinti infatti che la funzione di Compliance sarà sempre più strategica all’interno dell’Organizzazione in quanto prerequisito di sostenibilità”.

Resoconto-Compliance-in-Banks-2010 32

Alessandra Perrazzelli, Head of International and Antitrust Affairs Intesa Sanpaolo - Il programma di compliance antitrust di Intesa Sanpaolo

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/83/ - solo utenti registrati)

L’avvocato Perrazzelli ha illustrato la nascita e lo sviluppo del programma di “Compliance Antitrust” in Intesa Sanpaolo. La necessità di tale funzione organizzativa nasce in occasione della fusione tra Intesa e Sanpaolo-IMI in quanto richiesta dalla Autorità Garante per la Concorrenza del Mercato http://www.agcm.it/ .L’International Regulatory & Antitrust Affairs Office è stato costituito a livello di gruppo con la mission di gestire centralmente tutte le problematiche poste dalla autorità antitrust nazionali ed internazionali.L’ufficio si configura come una sorta di service in quanto offre consulenza sulle tematiche della concorrenza, promuove la relativa cultura aziendale all’intero gruppo per il quale inoltre gestisce l’applicazione del Competition Compliance Programme.

Il “Competition Compliance Programme” ha l’obiettivo di diffondere la cultura della compliance e delle regole antitrust presso il personale al fine di prevenire comportamenti contrari alle regolamentazioni sulla concorrenza ed in tal modo preservare la reputazione aziendale ed evitare sanzioni da parte dei regulator nazionali.

L’esigenza di tale programma nasce, inoltre,dalla con stazione che la conoscenza della normativa antitrust è ancora troppo poco presente in banca; a riguardo la Perrazzelli ha ricordato il Regolamento n. 139/2004 della Commissione delle Comunità Europee (qui in pdf) che norma tale disciplina.

I tre pilastri del Competition Compliance Programme sono:

1) L’EU Competition Compliance Policy;2) L’Antitrust Team;3) I programi di formazione svolti anche in modalità classica (aula) e interattiva (web tv, e-

learning).

L’EU Competition Compliance Policy si compone di tre sezioni principali:

1) Antitrust rulesa. Prohibited agreements (art. 101 Treaty)b. Abuse of dominant position (art. 102 Treaty)c. Concentrations between undertakings (Merger Regulation 139/2004)

2) Compliance with competition rulesa. Why bother with competition rules (consequences of non compliance and positive

advantages of the antitrust programme)b. To do’s and not to do’s (assessing the risk, typical examples of prohibited

agreements, recommendations)3) Preventive measures and company procedure

Resoconto-Compliance-in-Banks-2010 33

a. Inspections (what to do during and after the inspections)b. Privilege (rules of privilege)c. Document retention (including electronic records).

L’Antitrust Team è formato da un gruppo di specialisti, che rispondono funzionalmente all’International Regulatory & Antitrust Affairs Office e dislocati localmente presso le varie realtà nazionali; il team conduce verifiche periodiche, fornisce consulenza, eroga formazione.Un elemento fondamentale, ha sottolineato l’avvocato Perrazzelli, è che l’Antitrust Team è sempre disponibile ad assistere i colleghi ma non valuta né giudica mai il loro comportamento.

Resoconto-Compliance-in-Banks-2010 34

Leandro Polidori, Responsabile Compliance Banca MPS - Compliance, Legale e Controlli Interni in Banca Monte dei Paschi di Siena

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/82/ - solo utenti registrati)

L’intervento del dottor Polidori si è articolato in tre parti:

Il sistema dei Controlli Interni in BMPS Evoluzione delle Funzioni di Compliance e Legale

o fase inizialeo fase di evoluzione e consolidamento

Rapporti tra Compliance e Legaleo ambiti generalio ambiti specifici su alcune materie ad impatto rilevante.

Il Sistema dei Controlli Interni BMPSCome è noto il Sistema dei Controlli Interni (SCI) è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative finalizzate a perseguire, la sana, corretta e prudente conduzione della Banca e del Gruppo.Un efficace processo di identificazione, misurazione, gestione e monitoraggio dei principali costituisce la condizione essenziale per perseguire correttamente gli obiettivi aziendali.In tale ambito, si inserisce anche il presidio del rischio di non conformità alle norme, definito in coerenza con le previsioni regolamentari e con lo SCI adottato.

Il dottor Polidori è poi passato a descrivere lo SCI nel gruppo MPS sottolineando la rilevanza assunta dal ruolo svolto dagli Organi di vertice che hanno, ciascuno per quanto di loro competenza, ruoli di supervisione strategica , esecutivi e di controllo.Le funzioni aziendali di controllo, ha sottolineato Polidori, dipendono gerarchicamente dal Direttore Generale, ma, al fine di salvaguardare autonomia ed indipendenza, hanno una linea di reporting diretta (nomina e flussi informativi periodici) con il Presidente, quindi il CdA, ed il Comitato per il Controllo Interno.

Polidori ha poi descritto come è organizzata e posizionata la funzione Compliance e le sue interazioni con le altre funzioni aziendali quali:

Internal Audit Legale e Societario Formazione Risk Management.

Resoconto-Compliance-in-Banks-2010 35

Evoluzione delle Funzioni di Compliance e LegaleNella seconda parte del suo intervento Polidori ha tratteggiato l’evoluzione parallela delle funzioni di Compliance e Legale in MPS distinguendo tra due periodi:

1) 2007 - 2008: fase iniziale;2) 2009 - 2010: fase di consolidamento.

Nella prima fase prevalgono gli aspetti di presidio della normativa e l’analisi degli ambiti di applicazione delle novità normative e regolamentari.Nella seconda fase la funzione di Compliance si trasforma in una funzione autonoma e indipendente con riporto diretto agli Organi Aziendali.Di conseguenza viene sviluppato un apposito framework metodologico ai fine della valutazione dello stato di conformità, valutazioni qualitative ma integrate con dati quantitativi derivanti dall’identificazione di specifici Indicatori Rischio non Conformità (IRC).

Rapporti tra Compliance e LegalePolidori ha poi evidenziato i punti di contatto tra le funzioni Compliance e Legale notando come nell’ambito dell’attività specifica e dei processi operativi presidiati in maniera diretta dalle due funzioni emergono ambiti di apparente sovrapposizione, ma che sono da considerare come specifici punti di contatto tra le due funzioni. Tali ambiti derivano direttamente dalle definizioni di rischio legale e di rischio di non conformità che presentano aspetti decisamente affini.In particolare:

1) Il Legale, e la Compliance per quanto di competenza, analizza le possibili fonti normative primarie e secondarie: Standard Internazionali, Direttive comunitarie, Leggi e Decreti legislativi, Regolamenti, Circolari interpretative, Sentenze e Disposizioni delle Autorità di Vigilanza e Controllo.

2) Il Legale fornisce consulenza e la corretta interpretazione della norma, mentre la Compliance valuta i possibili impatti sulla realtà aziendale (processi, assetti organizzativi, sistemi IT, etc.).

3) La Compliance, con il supporto delle altre funzioni aziendali (Org. ICT, Business) delinea la procedura conforme ai dettami normativi e il Legale fornisce pareri laddove la normativa deve essere interpretata nel dettaglio.

4) La Compliance sovrintende alle implementazioni necessarie e ne valuta l’efficacia in termini di prevenzione del rischio di non conformità.

Resoconto-Compliance-in-Banks-2010 36

Luca Bonzanini, Responsabile Affari Legali e Contenzioso UBI Banca - Rapporti tra Legale e Compliance nel gruppo UBI

Il dottor Bonzanini ha illustrato i rapporti tra funzione Legale e funzione Compliance parlando sia di aspetti normativi e metodologici sia della traduzione “pratica” degli stessi nella realtà quotidiana.Secondo Bonzanini, in sintesi, al di là dei principi esposti dalla autorità di vigilanza in materia di conformità alle norme nella pratica in realtà, in banca, vige il consenso che “sull’interpretazione della norma il Legale ha competenza piena ed esclusiva”.Bonzanini ha poi relazionato sulla struttura organizzativa adottata nel gruppo UBI soffermandosi sulle attività condotte dalla funzione “Affari Legali e Contenzioso” e sottolineando i punti di interrelazione di questa con la funzione di Compliance. I contatti sono frequenti anche perché Legale e Compliance ragionano entrambe in un’ottica ex ante. Passando al quadro generale il dottor Bonzanini ha osservato che si percepisce a volte una “volontà punitiva”nei confronti delle banche da parte delle autorità di settore e del legislatore nazionale; se in certi casi ciò è stato giustificato da antiche e ormai obsolete modalità operative tuttavia occorre ribadire che le banche si sono impegnate, negli ultimi anni, in un notevole sforzo per rendere i propri servizi e prodotti più adatti alle esigenza della clientela anche con investimenti e costi non indifferenti (si veda ad esempio il recente caso della portabilità dei mutui).Purtroppo il rischio di non conformità è potenzialmente ovunque anche nella normativa fiscale!Ciò causa tra l’altro anche sovrapposizione tra le funzioni aziendali a cui a volte si risponde (in modo erroneo) concedendo totale autonomia alle funzioni di controllo.Parlando della funzione di Compliance in UBI, Bonzanini ha indicato le aree di sua competenza tra le quali:

Usura Trasparenza Servizi di investimento Reclami

ed ha osservato come si tratti di discipline dove il rischio legale è sempre in agguato con effetti non prevedibili.Bonzanini ha poi commentato i recenti provvedimenti dell’Arbitro Bancario Finanziari (ABF http://www.arbitrobancariofinanziario.it/) che troppo spesso, a suo avviso, si pronuncia a favore del cliente. Bonzanini si è detto preoccupato da tale situazione tanto che le banche potrebbe arrivare a preferire di non rispettare una decisione dell’ABF e ricorrere alla giustizia ordinaria.Infine Bonzanini ha descritto 2 esperienze di positiva collaborazione in UBi fra Compliance e Legale:

1) comitato prodotti;2) sistemi incentivanti commerciali.

Resoconto-Compliance-in-Banks-2010 37

Edoardo Pronello, Responsabile Funzione Compliance Banca del Piemonte - La ripartizione tra Compliance e Legale delle attività di consulenza e di validazione dei processi

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/79/ - solo utenti registrati)

Il dottor Pronello ha diviso la sua relazione in due parti:

1) contesto normativo;2) la situazione in Banca del Piemonte.

Contesto normativoPronello ha fornito le definizione e illustrato le differenze tra rischio di compliance, legale e operativo:

rischio di compliance: rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina);

rischio operativo: rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni; include il rischio legale ma non quello strategico e reputazionale;

rischio legale: rischio di subire perdite derivanti da violazioni di legge e regolamenti, da responsabilità contrattuale o extra-contrattuale ovvero da altre.

Pronello ha poi svolto un’analisi comparata tra la funzione Legale e la funzione Compliance; a suo avviso esse sono caratterizzate da due approcci profondamente diversi anche in relazione ad adempimenti ipoteticamente similari o sovrapponibili. Infatti:

la Funzione Legale risente delle scelte e dell’influenza delle unità di business, mentre la Funzione Compliance è indipendente dalla aree di business e ciò è espressamente richiesto/preteso dalla normativa;

le due funzioni sono caratterizzate da una differente responsabilità nei confronti di “soggetti esterni” segnatamente le Autorità di Vigilanza e la clientela.

Tali differenze giustificano una scelta organizzativa di separazione delle due funzioni.

La situazione in Banca del PiemonteLa Banca del Piemonte http://www.bancadelpiemonte.it è una banca privata che nasce a Torino nel 1912 come Banca Anonima di Credito su iniziativa di alcune antiche famiglie torinesi. Oggi Banca del Piemonte è una banca regionale indipendente con oltre 60 filiali in Piemonte.

Nella banca le funzioni di controllo sono:

Resoconto-Compliance-in-Banks-2010 38

Consulenza Legale; Compliance; Controlli operativi.

In base a questa struttura organizzativa Pronello ha notato come le attività di consulenza e di validazione ex ante dei processi sono oggetto di possibile sovrapposizione tra la Funzione Legale, la Funzione Compliance e la Funzione Controlli Operativi. Nella distribuzione dei compiti sono pertanto stati perseguiti i seguenti obiettivi:

usufruire delle competenze e delle professionalità esistenti, spesso legate a strutture già presenti e consolidate;

evitare ridondanze organizzative, duplicando ruoli e responsabilità; garantire la copertura dell’attività, evitando di lasciare aree scoperte (possibile conseguenza

“paradossale” legata alla sovrapposizione di compiti); rispondere ai dettami della normativa (che si aspetta un determinato output dalla Funzione

Compliance).

Le scelte organizzative effettuate, in base ai pre elencati obiettivi, sono le seguenti:

Aree normative di prevalente competenza della Funzione di Complianceo Normativa inerente l’Intermediazione finanziariao Privacyo Responsabilitàamministrativa degli Entio Conflitti di interesse

Aree di sovrapposizione con la Funzione Legaleo Trasparenza

Aree di sovrapposizione con la Funzione Controlli operativio Antiriciclaggioo Usura.

Infine il dottor Pronello ha ricordato che le attività di validazione ex ante dei processi è riservata alla Funzione di Compliance in quanto il termine “validazione” implica un’attività che le stesse autorità di Vigilanza attribuiscono alla Funzione di Conformità.Inoltre la Funzione Compliance in Banca del Piemonte viene coadiuvata nella validazione dei processi dalla Funzione Legale o dalla Funzione Controlli Operativi in base all’area normativa coinvolta nel processo esaminato.

Resoconto-Compliance-in-Banks-2010 39

Quarta sessione - temi aperti: Compliance, HR & Audit

12 novembre 2010, ore: 09.15 – 11.30

Interventi

Giancarlo Durante, Direttore Centrale, Responsabile Area Sindacale e del Lavoro ABI, chairman della sessione - Le politiche retributive aziendali: il contributo della Compliance

Claudia Pasquini, Responsabile Settore Analisi e Gestione dei Rischi ABI - Gli accordi di servizio tra funzioni Internal Audit e Compliance

Giuseppe Aquaro, Membro Comitato per il settore finanziario, AIIA http://www.aiiaweb.it/ – Associazione Italiana Internal Auditors, Responsabile Audit On Site, Unicredit Group - Il coordinamento complessivo del Sistema dei Controlli Interni in banca

Claudio Cola, Presidente AICOM – Associazione Italiana Compliance, Responsabile Compliance Dexia - La Funzione Compliance e i diversi attori del sistema dei controlli: l’Organismo di Vigilanza (d.lgs 231/2001) e la nuova funzione Antiriciclaggio

Simone Barbieri, Funzione Compliance Barclays Bank - I controlli di compliance a distanza

Adalberto Alberici , Presidente Comitato Scientifico Compliance ABI, Ordinario di Economia degli Intermediari Finanziari Università di Milano - Riflessioni sulle interrelazioni tra HR e Compliance

Di seguito la sintesi degli interventi.

Resoconto-Compliance-in-Banks-2010 40

Giancarlo Durante, Direttore Centrale, Responsabile Area Sindacale e del Lavoro ABI, chairman della sessione - Le politiche retributive aziendali: il contributo della Compliance

Il dottor Durante di ABI ha iniziato i lavori della sessione facendo una rapida overview delle politiche retributive e di incentivazione e dei conseguenti orientamenti dei regulator . Tali temi, ha ricordato Durane, sono al centro del dibattito in banca già da anni e hanno ricevuto un forte impulso nel 2008 dopo dissesto Leham Brothers http://it.wikipedia.org/wiki/Lehman_Brothers dovuto anche a errate politiche di incentivazione del management.La recente crisi finanziaria ha imposto la necessità di ulteriori riflessioni specie per quanto riguardo il sistema incentivante delle posizioni apicali e del middle management in banca. Sul tema il corpus normativo è ampio e in continua evoluzione. Al riguardo Durante ha ricordato alcuni recenti pronunciamenti delle autorità di settore:

CESR, The Committee of European Securities Regulators, Inducements: Good and poor practices, 19 aprile 2010, qui in pdf http://www.cesr-eu.org/data/document/10_296.pdf .

Banca d'Italia,"Sistemi di remunerazione e incentivazione", 28 ottobre 2010, qui in pdf http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/gov_soc_ban/sistemi_remunerazione.pdf (qui una sintesi http://www.compliancenet.it/content/banca-d-italia-sistemi-di-remunerazione-e-incentivazione-comunicazione-n-032156009-28-10-2009)

European Banking Federation, Remuneration policies after the crisis, 27 aprile 2010, qui in pdf http://www.ebf-fbe.eu/uploads/27%20April%20Remuneration%20Policies.pdf

Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF;

Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25 settembre 2009 qui in pdf http://www.financialstabilityboard.org/publications/r_090925b.pdf

Esiste concreto il rischio di doversi confrontare con un quadro normativo in continua evoluzione e alimentato da fonti spesso non coordinate tra loro; secondo Durante al contrario sarebbe auspicabile avere norme non frutto delle emergenze ma organiche, coerenti e complete; le politiche di remunerazione dovrebbero, infatti, essere progettate sul lungo periodo e basarsi su un contesto di legge stabile.Tutto ciò è di ovvio interesse per la Compliance perché nelle banche deve esserci conformità anche nel sistema incentivante specie per chi ha la responsabilità di business.Durante ha poi analizzato il problema delle fonti normative per la compliance. Una volta le banche si misuravano solo con fonti del diritto nazionali; oggi non solo devono tener conto del contesto comunitario e internazionale ma anche di nuove fonti normative che pur non essendo “fonti di diritto” tuttavia hanno una grande moral suasion e la cui sottovalutazione potrebbe portare a perdita di reputazione e di fiducia da parte degli stakeholder.Il Contratto Collettivo Nazionale del credito si era già posto il problema del sistema di incentivazione nel 1994 cercando di introdurre elementi di “oggettività”; nel 1997 fu poi introdotto un “protocollo” di intesa per le parti proprio su questo tema.

Resoconto-Compliance-in-Banks-2010 41

Oggi uno degli aspetti più delicati è trovare un equilibrio (e rispettare la conformità) rispetto al nuovo quadro regolatorio ed in primo luogo rispetto alla MiFID.Forse, ha osservato Durante, è ancora presto per arrivare a delle conclusioni; tuttavia ci sono trend significativi di cui si deve tener conto:

1. la parte variabile della retribuzione deve essere legata ad obiettivi e risultati di lungo periodo della banca e del gruppo;

2. ci deve essere un legame tra l’incentivo e la politica di assunzione di rischio della banca;3. attenzione all’incidenza della retribuzione variabile a breve termine sul totale.

I punti aperti e che richiedono invece ulteriori riflessioni sono:

1) serve una chiara definizione del perimetro normativo della compliance ed individuazione della validità delle fonti da cui scaturiscono gli obblighi;

2) va chiarito l’ambito delle possibili verifiche da parte della funzione di Compliance: il quadro legale è ancora instabile e non è ancora chiaro cosa e come è lecito premiare; d’altra parte è ovvio che una proposta normativa completamente “oggettiva” non possa essere possibile perché la valutazione delle prestazioni è fondamentalmente legata ad una valutazione soggettiva da parte della azienda;

3) non è chiaro come le regole debbano essere applicate ai cosiddetti risk taker cioè al Risk Manager ed a coloro che fanno parte del Sistema dei Controlli.

In conclusione del suo intervento Durante ha sottolineato che in ogni caso vanno tenuti distinti i ruoli delle Risorse Umane e quello della Compliance.

Infatti alle Risorse Umane va assegnato il compito di definire e valutare i criteri di attribuzione dei premi mentre alla Compliance è riservato il compito di verifica la coerenza del sistema premiante con il quadro normativo.

Resoconto-Compliance-in-Banks-2010 42

Claudia Pasquini, Responsabile Settore Analisi e Gestione dei Rischi ABI - Gli accordi di servizio tra funzioni Internal Audit e Compliance

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/92/ - solo utenti registrati)

La dottoressa Pasquini ha presentato i primi risultati di un Gruppo di Lavoro (GdL) ABI relativo a metodologia e principi di riferimento per la stesura di Accordi di Servizio (AdS) tra Funzione Compliance e Internal Auditing.Per accordo di servizio si intende, ha spiegato Paquini, un testo che, sebbene ai soli fini interni, impegna formalmente:

a) la funzione aziendale erogatrice del servizio nei confronti della funzione fruitrice;b) entrambe le funzioni rispetto ai vertici dell’organizzazione.

Nell’ambito dell’Accordo possono essere inseriti precisi Services Level Agreement (SLA) ossia metriche di servizio che devono essere rispettate dall’erogatore e che precisano il livello di servizio atteso.L’accordo può intercorrere tra funzioni non presenti nella medesima azienda ma anche tra funzioni appartenenti ad aziende diverse.

Prima di enunciare i principi suggeriti la dottoressa Pasquini ha ricordato che essi sono da considerare:

non esaustivi; da interpretare ed adattare alle singole realtà aziendali; da declinare secondo il principio di proporzionalità.

Nel documento le “parti” sono definite come FC (Funzione Compliance) e IA (Internal Auditing); tuttavia si possono applicare i principi esposti anche in AdS tra la FC e altre funzioni di controllo della banca; ad esempio, si può fare riferimento ad uno specifico nucleo ispettivo sebbene non appartenente all’Internal Auditing o all’Operational Risk Management.

La metodologia utilizzata si compone delle seguenti fasi:

analisi dei principali riferimenti normativi in materia esame degli AdS realmente in uso, messi a disposizione da alcuni partecipanti del GdL identificazione degli elementi comuni rintracciati in tali Accordi (assunti come prima ipotesi

di principi) e successiva discussione nel GdL.

I principi di riferimento (i magnifici sette) sono:

1. evitare duplicazioni nell’esercizio delle attività di controllo e verifica (principio di economicità);

2. garantire il costante coordinamento tra le due funzioni rispetto all’oggetto dell’accordo;3. descrivere in maniera idonea l'oggetto dell’accordo;

Resoconto-Compliance-in-Banks-2010 43

4. stabilire chiaramente le responsabilità, i diritti e gli obblighi reciproci derivanti dall’accordo;5. definire i flussi informativi bidirezionali e fissare i loro contenuti e la relativa periodicità;6. pianificare le verifiche e la loro modalità di svolgimento;7. specificare durata, validità e rinnovo dell’AdS.

Pasquini ha ricordato che i principi hanno mero carattere indicativo, non vogliono essere vincolanti e non devono essere considerati “best practices” o modelli “pronti” per essere inseriti acriticamente nel testo del proprio AdS.La dottoressa Pasquini si è soffermata in particolare sul terzo principio relativo alla “descrizione idonea dell’oggetto dell’accordo” per sottolineare l’importanza di approfondire e formalizzare alcuni punti fondamentali:

perimetro, ambiti, popolazione (unità o processi aziendali), rischi e controlli collegati; metodologie, tecniche di campionamento utilizzate, scelta tra verifiche in o off site, check

list da utilizzare, ecc. frequenza di conduzione delle verifiche; output, deve comprendere solo informazioni raccolte e classificate secondo una struttura

predefinita (esito della verifica) o, in aggiunta, una valutazione ben più vicina all’output finale proprio della FC (esito di controllo di conformità).

In conclusione del suo intervento la dottoressa Pasquini ha ricordato che i lavori su questo GdL sono ancora in corso e che l’elaborato finale è previsto per gennaio 2011 per cui eventuali commenti e contributi sono graditi e possono essere inviati a compliance@abi.it .

Resoconto-Compliance-in-Banks-2010 44

Giuseppe Aquaro, Membro Comitato per il settore finanziario, AIIA – Associazione Italiana Internal Auditors, Responsabile Audit On Site, Unicredit Group - Il coordinamento complessivo del Sistema dei Controlli Interni in banca

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/78/ - solo utenti registrati)

Il dottor Aquaro ha esordito ricordando che controlli e governo societario sono aspetti solo apparentemente distinti: in realtà si integrano e concorrono insieme al buon funzionamento di un’impresa. Il sistema dei controlli interni è parte integrante dei meccanismi di governo societario: una buona percentuale di controlli sta nella governance e una buona governance vuol dire buoni controlli. Gli assetti organizzativi e di governo delle banche devono pertanto essere tali da realizzare gli interessi dell’impresa e allo stesso tempo contribuire ad assicurare condizioni di sana e prudente gestione. L’Internal Governance delle banche è un elemento strategico per assicurare la sana e prudente gestione: le disposizioni di vigilanza emanate dalla Banca d'Italia contengono, tra le altre, regole di Internal Governance (si veda: la Banca d’Italia, Le nuove disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, 4 marzo 2008, qui in pdf http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040308.pdf) in cui particolare attenzione viene dedicata al sistema dei controlli interni. Efficaci controlli, esercitati da funzioni di controllo autorevoli, attive e indipendenti sono presidi imprescindibili della solidità della banca.

Aquaro ha poi illustrato i requisiti di Banca d’Italia relativi al Sistema dei controlli in banca osservando come il mutato contesto finanziario abbia spinto ad un passaggio dagli strumenti tipici della vigilanza strutturale a forme più evolute di controllo, proprie della risk based supervision.

Passando al ruolo della funzione di Internal Audit, Aquaro ha ricordato che si tratta di una funzione indipendente istituita dal management di un’impresa quale parte integrante del Sistema dei Controlli Interni.L’Internal Audit:

effettua una attività di “assurance” e “consulting” indipendente, oggettiva e finalizzata a valutare, valorizzare e migliorare il Sistema dei Controlli Interni della Banca;

aiuta la Banca a raggiungere i propri obiettivi di sana e prudente gestione secondo un approccio sistematico e disciplinato al fine di valutare e migliorare l’adeguatezza dell’operatività della banca.

Aquaro ha poi descritto l’organizzazione della funzione di Internal Audit in UniCredit: essa assicura il coordinamento delle attività delle entità con un sistema manageriale di gestione basato sul concetto delle “competence line”.

Resoconto-Compliance-in-Banks-2010 45

In particolare l’Internal Audit department in qualità di “competence line” opera trasversalmente rispetto alle strutture societarie vigenti, nel rispetto delle responsabilità assegnate dalle leggi e normative locali.Da notare, ha sottolineato Aquaro, che in Unicredit il Group Audit adotta una struttura organizzativa suddivisa per tipologia di rischio.Aquaro è poi passato ad analizzare il rapporto tra Internal Audit e funzione di Compliance ricordando, tuttavia, che l’Internal Audit sottopone a periodiche verifiche l’adeguatezza e l’efficacia della funzione di Compliance.Infine Aquaro ha approfondito l’aspetto dell’attività consulenziale della funzione di Internal Audit ricordando in primo luogo che l’attività consulenziale effettuata non deve compromettere l’indipendenza dell’Internal Audit.In generale l’IA non prende parte:

alla definizione di processi e procedure; all’identificazione dei relativi controlli; alla stesura di procedure e normative interne e di Gruppo.

L’attività consulenziale permessa consiste in:

partecipazione ai principali progetti (senza“decision making authority”); fornire un’opinion sui nuovi processi, policy e procedure e nuovi prodotti in termini di rischi

e relativi controlli; partecipazione ai principali Comitati di Gruppo (come uditore senza diritto di voto); Sanity check.

Resoconto-Compliance-in-Banks-2010 46

Claudio Cola, Presidente AICOM – Associazione Italiana Compliance, Responsabile Compliance Dexia - La Funzione Compliance e la pluralità dei soggetti del Sistema dei Controlli Interni: l’Organismo di vigilanza (D.lgs 231/2001) e la funzione antiriciclaggio

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/77/ - solo utenti registrati)

L’avvocato Caludio Cola, presidente dell’Associazione Italiana Compliance (AICOM http://www.assoaicom.org/ ) ha relazionato sul tema della pluralità delle funzioni di controllo presenti in banca.Già la semplice elencazione (parziale) dei soggetti e delle figure che hanno responsabilità di controllo in banca (tenendo conto solo della normativa bancaria degli ultimi 15 anni) evidenzia che c’è un problema di iper regolamentazione e di sovrapposizioni di norme:

Responsabile Sicurezza CdA con compiti di vigilanza Responsabile Internal Audit Sistema Controlli Interni TUF Sistema Controlli Interni Codice Preda Comitato Audit Organismo di Vigilanza 231/01 Revisore contabile Dirigente preposto documenti contabili Responsabile Funzione di Compliance Responsabile/i Privacy Responsabile Risk Responsabile ICAAP Responsabile Antiriciclaggio (doc. Banca d’Italia in consultazione) Amministratori indipendenti operazioni parti correlate.

In realtà, ha osservato Cola, siamo di fronte ad una vera e propria “galassia” degli organi/funzioni/responsabili dei controlli che nasce da interventi normativi, diffusi nel tempo e riconducibili a fonti diverse sia comunitarie sia nazionali e spesso contingenti.Questa “dispersione”, ha osservato Cola, rende critica la gestione dei controlli aziendali con aumento dei rischi operativi e reputazionali.

Cola è poi passato ad una analisi “comparativa” tra le attività della funzione di Compliance e quelle dell’Organismo di Vigilanza ai sensi del d.lgs. 231/2001.

L’Organismo di Vigilanza ha i seguenti principali compiti:

Resoconto-Compliance-in-Banks-2010 47

assicurarsi che il Modello Organizzativo sia coerente con le norme del D.lgs. 231/2001 e con le linee guida delle associazioni di categoria;

verificare che il Modello Organizzativo sia nel tempo aggiornato in relazione alle novità normative e organizzative;

vigilare affinché il Modello Organizzativo sia osservato.

Il Compliance risk (ossia il rischio di perdite, sanzioni o di ricadute reputazionali per il mancato rispetto di norme di etero e di autoregolamentazione) ha un evidente rapporto di genere a specie con il rischio di compimento di illeciti ricompresi nel D.lgs. 231/2001, ha sottolineato Cola.Dunque tra le attività dell’Organismo di Vigilanza e le attività della funzione di Compliance esistono evidenti rapporti e possibili sinergie.In particolare:

la Compliance può rappresentare uno dei principali supporti dell’Organismo di Vigilanza; il responsabile della Compliance può divenire uno dei componenti dell’Organismo di

Vigilanza.L’intervento di Cola si è concluso con una serie di considerazioni nell’ambito del Sistema dei Controlli:

non si osserva alcun tentativo di razionalizzazione e di riconduzione a unità rispetto alla già abbondante presenza di soggetti e figure di controllo;

si manifesta con forza un problema di governance complessiva del sistema dei controlli probabilmente da gestire all’interno del “progetto societario”;

si pone evidente un problema non meno importante di commitment del vertice aziendale, di responsabilità delle persone incaricate, di adeguatezza qualitativa e quantitativa delle risorse da destinare alle funzioni di controllo.

Resoconto-Compliance-in-Banks-2010 48

Simone Barbieri, Funzione Compliance Barclays Bank - I controlli di compliance a distanza

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/76/ - solo utenti registrati)

Il dottor Barbieri ha ricordato che l’evoluzione del ruolo della funzione di Compliance sviluppa in maniera crescente il compito di controllo costante a presidio della conformità focalizzando sulla necessità di un presidio completo delle materie regolamentari, mediante:

1. controlli di impianto (ex-ante)2. controlli operativi / funzionali (ex-post) tra i quali i controlli a distanza.

L’attività di controllo a distanza è caratterizzata dall’estrazione, elaborazione ed analisi di dati ed informazioni contenute negli archivi informativi aziendali, con l’obiettivo di rilevare tempestivamente eventuali anomalie operative e/o comportamentali e valutarne l’impatto in termini di rischio.Peculiarità del controllo a distanza sono:

grande quantità di dati e informazioni a disposizione (es. DWH, business intelligence) velocità di rilevazione delle eventuali anomalie operative (real time) riduzione dei costi rispetto alle verifiche on-site continuità e flessibilità del controllo tracciabilità e riproducibilità dell’analisi.

Centrale per i controlli a distanza sono i sistemi IT; infatti l’efficacia dei controlli a distanza è funzione, inter alia, della disponibilità di archivi informatici accentrati e di strumenti evoluti di business intelligence o applicativi dedicati che consentano l’accesso autonomo da parte delle funzioni di controllo e l’elaborazione di dati che siano:

aggiornati completi dettagliati affidabili.

Barbieri ha poi illustrato come progettare i controlli a distanza di Compliance. A tal fine è necessario:

definire in maniera chiara lo scopo del controllo; verificare ed analizzare la disponibilità delle fonti informative; identificare le caratteristiche e la dimensione di analisi; identificare l’indicatore di rischio (Key Risk Indicator); stabilirne la frequenza di aggiornamento (giornaliero, settimanale, mensile, ..); identificare delle soglie di attenzione dei KRI che tengano in considerazione la probabilità e

l’impatto del rischio ed il risk appetite della Banca.

L’analisi e gli indicatori devono essere in grado di fornire contemporaneamente sia una rappresentazione statica sia una rappresentazione andamentale del rischio.

Barbieri ha poi fornito una serie di esempi di controlli a distanza su tematiche di Compliance: proposizione dei prodotti bancari e assicurativi

Resoconto-Compliance-in-Banks-2010 49

servizi di investimento - MIFID attività dei promotori finanziari Market Abuse Antiriciclaggio.

In conclusione del suo intervento Barbieri ha mostrato come i controlli a distanza possono contribuire alla creazione di valore.I controlli a distanza tuttavia non rappresentano una alternativa ai “tradizionali” controlli on-site, ma contribuiscono a focalizzare, indirizzare, prioritizzare i controlli diretti nelle aree a maggior componente di rischiosità, secondo un approccio risk based. Le verifiche on-site restano pertanto indispensabili sia per integrare, in un’ottica di complementarietà, le informazioni e le conoscenze non ottenibili da remoto, sia per fornire un feedback sull'attendibilità delle indicazioni fornite dalle analisi effettuate a distanza, contribuendo in questo modo al loro affinamento e miglioramento continuo. Integrazione quindi non solo delle diverse tipologie di controlli ma anche integrazione funzionale nel processo di controllo attraverso:

la condivisione delle informazioni e delle risultanze delle attività di monitoraggio tra le funzioni di controllo, sfruttandone le sinergie, con particolare riferimento alle attività di Risk Management, Compliance ed Internal Audit (flussi informativi);

il miglioramento dell’utilizzo delle risorse cercando di contenere la duplicazione dei controlli attraverso una visione unitaria del processo di controllo e accordi di collaborazione (SLA);

la conseguente riduzione dei costi del controllo.

Resoconto-Compliance-in-Banks-2010 50

Adalberto Alberici, Presidente Comitato Scientifico Compliance ABI, Ordinario di Economia degli Intermediari Finanziari Università di Milano - Riflessioni sulle interrelazioni tra HR e Compliance

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/75/ - solo utenti registrati)

Il professor Alberici http://www.economia.unimi.it/index.php?id=alberici ha svolto un appassionante intervento sul tema “compliance e cultura”.La relazione ha dapprima indicato due fasi storiche attraverso cui è passata la funzione di Compliance in banca:

fase 1 - compliance inespressa ovvero “il necessario presidio delle regole”; fase 2 – compliance proattiva ovvero “il presidio della cultura aziendale”.

Oggi fortunatamente la compliance viene percepita come “valore di fondo nella cultura aziendale” così come richiedeva già il Comitato di Basilea nel 2005. Ciò significa che occorre rafforzare i presidi volti a orientare la cultura aziendale, il rigoroso rispetto delle regole, la corretta gestione dei conflitti di interesse, la conservazione del rapporto fiduciario con la clientela.La compliance proattiva “conviene” anche nei rapporti con le authority perché va creata una cultura aziendale “nuova, esclusiva, riconoscibile” così come diceva Annamaria Tarantola, vice Direttore Generale di Banca d’Italia, ne “La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie”, 4 ottobre 2007, qui in pdf http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf p.12)“Se la compliance non agirà in questo modo, potrebbero sorgere dubbi …. nelle stesse Autorità di vigilanza, circa la capacità e la volontà degli amministratori di adempiere alle proprie responsabilità in punto di sana e prudente gestione requisito essenziale per la proficua permanenza nel mercato.”(Annamaria Tarantola, ibidem, p.16)

Ma, ha osservato Alberici, la compliance proattiva sta muovendo solo ora i primi passi perché la cultura ha a che fare con le persone e modificare i comportamenti è più complesso che applicare nuove regole.D’altra parte ha sottolineato il professor Alberici, le banche italiane scontano ancor oggi un antico vizio d’origine: le banche italiane infatti sono le uniche aziende che sono diventate imprese “per legge” (art. 10 TUB). Occorre allora agire attraverso “azioni formative e informative su tematiche di conformità, quali strumenti di sviluppo di una cultura aziendale di compliance” (Annamaria Tarantola, ibidem, p.8).Secondo Alberici occorre “chiarezza” di ruoli nel condurre la formazione. In particolare occorre chiarire chi è effettivamente il responsabile della formazione per la cultura aziendale.Secondo Alberici il responsabile deve essere la funzione di Compliance ed in particolare il Compliance Officer mentre le Human Resources (HR) sono un semplice “organo tecnico esecutivo” e non un “supplente”. Purtroppo osserva Alberici i legami collaborativi fra Compliance e HR sono ancora scarsi rispetto a quelli con le funzioni di controllo e commerciali e solo le “interdipendenze informali” limitano talvolta i rischi conseguenti.

Resoconto-Compliance-in-Banks-2010 51

Le Funzioni di compliance, comunque, dispongono ormai di budget di spesa indipendenti (che la Vigilanza valuta) da utilizzare in autonomia.Ma come fare formazione realmente efficace?L'attività di formazione deve configurare un “percorso di formazione orientato ai comportamenti” che:

deve originare dai principi dalla deontologia che, vertendo su valori alla base dell' assunzione di responsabilità di tutti gli stakeholder, prescinde da qualsiasi dettaglio regolamentare;

si deve sviluppare sul Codice etico e su un qualificato corpus regolamentare interno per il consolidamento di una cultura aziendale basata sui valori dell’impresa, sulla conoscenza delle normative e dei rischi di non conformità, sulle conseguenze organizzative e sui costi per l’impresa e per le persone di comportamenti non conformi.

La formazione dovrebbe essere obbligatoria, capillare, “continua”, documentata, efficace, quindi certificata e verificata seguendo, ad esempio, le prassi e i metodi in uso per la Responsabilità amministrativa dell’impresa (D.Lgs. 231/01)

Infine si ricordi che il percorso di formazione deve essere rivolto a tutto il personale della banca a partire dagli amministratori, sindaci, top management fino ai neoassunti. Ovviamente sono possibili percorsi differenziati:

approccio di general management per executive (interfunzionalità, integrazione dell’attività aziendale, problem solving, comunicazione, gestione di processi organizzativi e dei conflitti, etc)

approccio tipo specialist formazione verticale sui temi classici della conformità (MiFID, antiriciclaggio, trasparenza

bancaria, protezione dei dati personali, etc.) interventi per analisti di organizzazione interventi di “formazione per formatori”.

Sarebbe importantissimo inoltre progettare attività di vero e proprio knowledge management per costruire, all'interno della banca, una “network informativo e di comunicazione” che possa accelerare la costruzione di una sensibilità comune sui temi della compliance, facilitare la condivisione delle informazioni e la capitalizzazione delle esperienze.In conclusione occorre favorire l’eccellenza, magari con una certificazione indipendente, di carattere metodologico e di risultato, del Compliance Officer, dei membri della funzione e dei processi di Compliance a valle di percorsi formativi e privilegiare iniziative di sviluppo delle risorse attivate per l’eccellenza delle l’attività di compliance (analisi di clima, forum, etc).

Resoconto-Compliance-in-Banks-2010 52

Quinta sessione - temi aperti: la compliance sui servizi di investimento

12 novembre 2010, ore: 11.45 – 14.00

Interventi:

Massimo Roccia, Responsabile Area Business ABI, chairman della sessione - Il ruolo della Funzione Compliance nei servizi di investimento

Carlo Appetiti, Head of Compliance Italy Deutsche Bank - Il Compliance Plan e il rapporto con le altre funzioni della banca

Alessandro Papaniaros, Responsabile Compliance Banco Popolare - Il regime dei conflitti di interesse e degli inducement dal punto di vista della Funzione Compliance

Giulio Giorgini, Senior Partner Bee Team - Metodologie ed esperienze a supporto dell’attività di compliance nei servizi di investimento

Massimiliano Passaro, Responsabile Compliance Bancoposta Poste Italiane - La gestione del processo di compliance applicato ai servizi di investimento

David Sabatini, Responsabile Settore Finanza ABI - L’evoluzione del ruolo della Funzione Compliance nei servizi di investimento.

Di seguito la sintesi degli interventi.

Resoconto-Compliance-in-Banks-2010 53

Massimo Roccia, Responsabile Area Business ABI, chairman della sessione - Il ruolo della Funzione Compliance nei servizi di investimento (Slide disponibili nella Compliance Community di ABIFormazione: http://www.compliance-community.it/documents/97/)

Il dottor Roccia ha trattato il tema della funzione di compliance alla luce della direttiva MiFID. La Compliance, secondo la MiFID:

assicura comportamenti corretti e trasparenti assume valenza strategica nel mantenimento di corrette relazioni di clientela controlla e valuta l’adeguatezza e l’efficacia delle procedure interne dell’intermediario fornisce vantaggi competitivi duraturi costituisce una componente importante del processo di creazione del valore aziendale.

Ciò significa che occorre adottare una “Compliance Policy” per i Servizi d’Investimento che garantisca:

adozione e mantenimento di procedure di controllo di conformità con riguardo alle disposizioni dettate per la prestazione dei servizi d’investimento

istituzione obbligatoria dell’unità organizzativa deputata allo svolgimento della funzione di compliance

formalizzazione del mandato con una chiara definizione degli obiettivi di tutela della clientela.

È altresì necessario, ha osservato Roccia, garantire l’indipendenza della funzione di Compliance. Ciò è possibile assicurando:

assenza di vincoli gerarchici tra il responsabile della funzione e i responsabili delle funzioni sottoposte a controllo

riporto diretto agli organi aziendali da parte del responsabile della funzione divieto ai soggetti rilevanti che contribuiscono allo svolgimento della funzione di

partecipare alla prestazione dei servizi oggetto del loro controllo metodo per la remunerazione degli addetti della funzione tale da non compromettere la loro

obiettività dotazione adeguata della funzione in termini di autorità, risorse (quantitative e qualitative

per competenze professionali) e strumenti operativi per lo svolgimento dei compiti.

Roccia ha poi indicato quali siano le macro-aree di controllo della Compliance e cioè:

1. assunzione delle scelte strategiche sul modello di business (comportamento strategico);2. processi organizzativi con i quali si (pre)definisce lo stesso modo di agire dell’intermediario

nella prestazione dei servizi di investimento (comportamento funzionale);3. condotta concretamente posta in essere nel rapporto con la clientela (comportamento

operativo).

Resoconto-Compliance-in-Banks-2010 54

Sono tuttavia emerse alcune criticità nell’applicazione della MiFID:

strategie di politica commerciale - Processo di definizione del budget strategie di politica commerciale - Sistema incentivante adeguatezza bloccante trasparenza contrattuale consulenza a valore aggiunto adeguatezza di portafoglio o per singolo prodotto.

In conclusione del suo intervento il dottor Roccia ha ricordato le “Linee Guida” Interassociative realizzate da ABI, ASSOSIM e FEDERCASSE.

Resoconto-Compliance-in-Banks-2010 55

Carlo Appetiti, Head of Compliance Italy Deutsche Bank - Il Compliance Plan e il rapporto con le altre funzioni della banca

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/74/ - solo utenti registrati)

L’intervento del dottor Appetiti si è articolato in due parti:

1. la Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed organizzazione locale;2. la pianificazione delle attività della Compliance.

La Compliance nel Gruppo Deutsche Bank (DB). Principi globali ed organizzazione localeAppetiti ha illustrato il posizionamento della funzione di Compliance nel gruppo DB: essa segue una doppia linea di riporto, territoriale e divisionale, per tenere in considerazione esigenze di business globali e specifiche regolamentazioni locali (es. MiFID).La funzione di Compliance è stata istituita nell’aprile 2000 con ruolo e funzioni esplicitate nel Regolamento degli Organi Sociali, nel Sistema dei controlli interni e nelle Politiche di gestione del compliance risk della DB SpA e delle controllate.La gestione del rischio di compliance segue un modello “federale” mentre per quel che riguarda l’interazione tra Compliance e funzioni coinvolte nella gestione del Compliance Risk:

il Responsabile dell’Unità Compliance è il Responsabile della Funzione di Conformità, e coordina e supervisiona le interazioni tra Compliance e le altre strutture organizzative coinvolte nella gestione del Compliance Risk;

le strutture incaricate di attività di compliance e/o controlli di conformità formalizzano, applicano e rivedono periodicamente proprie procedure che specificano in forma chiara e documentata i compiti da svolgere.

La pianificazione delle attività della ComplianceAnnualmente viere redatto un “Compliance Plan” che pianifica le 4 principali attività in carico alla funzione:

1. consulenza;2. formazione;3. prevenzione;4. monitoraggio.

Input del piano di attività sono fattori sia “interni” sia “esterni”: fattori interni

o CRAM: Deutsche Bank Group Compliance Risk Assessment Methodologyo AML Risk Assessmento risultanze dei controlli svolti nell‘anno e delle attività di follow-up

fattori esterni

Resoconto-Compliance-in-Banks-2010 56

o mappatura/conoscenza di attività/servizi/prodotti offertio pianificazione strategica di business almeno per l‘anno successivoo presidio normativoo interazioni con altre funzioni di controllo (ORM e Audit)o richieste delle autoritào interazione tra compliance e altre funzioni di controllo.

Appetiti ha poi evidenziato l’importanza di un costante scambio informativo tra le funzioni di controllo tramite:

segnalazione reciproca delle risultanze delle attività di verifica incontri trimestrali (anche per analisi delle singole pianificazioni) partecipazione a Comitati (Operating Risk Committee, Audit Committee, OdV 231,

Reputational Risk Committee) task force e incontri su tematiche specifiche (ad esempio, gestione dei reclami, ORM

meeting divisionali, compliance investigations) condivisione delle analisi nell’ambito della partecipazione a progetti aziendali.

In questo processo è tuttavia essenziale tenere sotto controllo alcuni punti di attenzione: attenta pianificazione delle attività per le società del Gruppo (3 banche, 1 SIM, 1 SGR, 1

Fiduciaria, branch locale di Deutsche Bank AG) necessità di integrare il modello di Business “Divisionale” e le esigenze di efficienza della

Funzione interazione con Casa Madre sulle attività locali impatti del Reg. 17297/2010: la valutazione del piano strategico di Business compresenza di attività “ex ante” ed “ex post”.

In conclusione del suo intervento, Carlo Appetti ha commentato la “struttura” del piano di attività. In esso per ciascuna attività sono indicate:

la tipologia di attività (consulenza preventiva, monitoraggio ex post, formazione e altre attività finalizzate alla diffusione di una cultura di conformità alle norme tra i dipendenti)

l’area normativa di riferimento (trasparenza, gestione dei conflitti di interesse, attività di intermediazione, mercati, attività antiriciclaggio, gestione dei rapporti con le Autorità di Vigilanza, etc.)

la frequenza di svolgimento, in caso di attività svolte in via continuativa o con periodicità definita (soggetta a modifiche in corso d’anno)

le funzioni/unità aziendali coinvolte i flussi informativi da altre funzioni/unità aziendali coinvolte alla U.O. Compliance.

A soli fini interni alla funzione, per ciascuna attività sono indicate le risorse assegnate, l’impegno preventivato e l’output richiesto.

Resoconto-Compliance-in-Banks-2010 57

Alessandro Papaniaros, Responsabile Compliance Banco Popolare - Il regime dei conflitti di interesse e degli inducement dal punto di vista della funzione Compliance

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/73/ - solo utenti registrati)

Il dottor Papaniaros ha svolto un articolato ed esauriente intervento sul tema del conflitto di interesse. Di seguito l’agenda dell’intervento.

Conflitti di Interesse o Identificazione dei conflitti o Gestione dei conflitti o Disclosure dei conflitti o Registro dei conflitti o Processo per la rilevazione e la gestione dei conflitti

Inducement o Classificazione dei compensi o Test di ammissibilità o Disclosure degli inducement o Processo per la rilevazione e la gestione degli inducement.

Conflitti di Interesse Papaniaros ha cominciato ricordando le principali novità introdotte dalla nuova normativa rispetto alla precedente. In primo luogo le nuove norme attribuiscono un valore determinante alle procedure e misure organizzative che l’intermediario è tenuto a porre in essere al fine di una corretta individuazione e gestione dei conflitti di interesse nella prestazione dei servizi e attività di investimenti ed accessori. Inoltre ora la disclosure non è più da sola sufficiente ad adempiere agli obblighi imposti dalla normativa e va prevista nei soli casi in cui le misure adottate dall’intermediario non siano ritenute sufficienti a tutelare il cliente. Infine la norma adesso impone l’obbligo all’intermediario di consegnare ai clienti la propria Policy sui conflitti di interesse.

Nel Banco Popolare la valutazione dei conflitti prevede il coordinamento al livello del Gruppo, con un ruolo centrale di control room e guida nelle valutazioni assegnato alla Compliance della Capogruppo. In particolare:

la valutazione e gestione dei conflitti potenziali viene svolta dalle funzioni di Compliance (o omologhe) degli intermediari interessati, con il coordinamento della Compliance della Capogruppo;

alla Compliance della Capogruppo è attribuita una funzione di control room delle situazioni di conflitto, svolta avvalendosi del “concentratore” di Gruppo (base dati situazioni rilevanti);

Resoconto-Compliance-in-Banks-2010 58

la Compliance della Capogruppo ha inoltre la responsabilità di tenere il registro dei conflitti, che è unico al livello del Banco, e che prevede viste logiche specifiche per ogni intermediario autorizzato.

La procedura “Conflitti di Interesse” elabora le segnalazioni effettuate per rilevare l’esistenza di conflitti e le storicizza nel Registro dei conflitti di interesse, indicando:

il servizio al quale si riferisce la registrazione la tipologia e la condizione di conflitto la funzione e la persona che segnala la situazione di conflitto l’emittente di strumenti finanziari o lo strumento specifico ai quali il conflitto si riferisce l’esito delle valutazioni della funzione di Compliance sulle modalità di gestione e di

disclosure il testo standard della disclosure del conflitto (se prevista).

Per quanto riguarda l’identificazione dei conflitti la funzione di Compliance ha contribuito ad identificare tutte le situazioni di conflitto di interesse, indicando il perimetro delle attività ed il perimetro dei soggetti coinvolti. Papaniaros ha poi indicato le principali tipologie di conflitti che sono classificate secondo due categorie: tipologie legate ai rapporti intrattenuti dal Gruppo e dai Soggetti Rilevanti con l’emittente degli strumenti finanziari oggetto dei servizi prestati e tipologie legate alla prestazione dei servizi a uno o più clienti.

Passando alla “gestione” dei conflitti la funzione di Compliance ha contribuito ad identificare le misure di gestione per ciascuna tipologia di conflitto individuata; esse sono articolate in:

presidi logistico / organizzativi predisposizione di Policy e regolamenti interni.

Inducement Nella seconda parte del suo intervento il dottor Papaniaros ha ricordato che funzione di Compliance ha contribuito all’analisi ed alla classificazione delle convenzioni vigenti in capo alla banche del Gruppo, sulla base della nuova normativa sugli inducements.Sono stati così individuati accordi che prevedevano remunerazioni:

ammissibili; non ammissibili; ammissibili in presenza di determinate condizioni (test di ammissibilità) volte ad assicurare

che i compensi fossero idonei ad: o accrescere la qualità del servizio fornito al cliente; o non ostacolare l’adempimento da parte dell’intermediario dell’obbligo di servire al

meglio gli interessi del cliente.

Resoconto-Compliance-in-Banks-2010 59

Giulio Giorgini, Senior Partner Bee Team - Metodologie ed esperienze a supporto dell’attività di compliance nei servizi di investimento

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/71/ - solo utenti registrati)

Il dottor Giorgini ha svolto la sua relazione dividendola in due parti:1. il Sistema dei controlli della Funzione Compliance;2. il presidio della documentazione come leva del controllo (il caso della contrattualistica

MiFID).

Il Sistema dei controlli della Funzione ComplianceGiorgini ha ricordato che la mission della funzione di Compliance, che deve garantire il presidio del rischio di non conformità (o rischio di compliance), trova declinazione anche nel complessivo sistema dei controlli interni della banca.Partendo dal modello di “risk assessment” scelto dalla banca è necessario individuare un set di controlli efficaci in grado di:

garantire il presidio del rischio di non conformità; individuare, e nel tempo monitorare, le opportune azioni di mitigazione del rischio (es.

interventi su procedure, formazione, ecc..).

Gli elementi da presidiare sono: processi; comportamenti; procedure.

Giorgini ha poi illustrato alcuni esempi di controlli su processi e procedure ricordando che: rappresentano la tipologia di controlli su cui il sistema bancario si è principalmente

concentrato; il disegno puntuale dei controlli è specifico per ciascuna banca e dipende fortemente dai suoi

processi e procedure; tipicamente i controlli sono a distanza e gestiti con strumenti di analisi sui dati, aggiornati

con periodicità mensile.

Il presidio della documentazione come leva del controllo (il caso della contrattualistica MiFID)Nella seconda parte del suo intervento Giorgini ha posto il problema delle dimensioni di presidio poste alla base del processo di controllo sui documenti.Infatti il controllo della documentazione è spesso deputato a controlli di linea non strutturati, ad ispezioni in loco (filiale) e a campione, con conseguente alto costo e limitata significatività.L’efficacia del controllo dei documenti in ambito servizi d’investimento è un dimensione critica in quanto l’irregolarità della carta prevale, nel caso di contenzioso, alla regolarità dei dati a sistema.

Resoconto-Compliance-in-Banks-2010 60

Occorre allora garantire la tracciabilità della documentazione in quanto il processo di gestione documentale si basa sul monitoraggio durante le fasi di lavoro e sul recupero sicuro e veloce dello “storico”.In conclusione Giorgini ha mostrato esempi di applicazione di strumenti e metodi per il supporto di tale tipologia di controlli.

Resoconto-Compliance-in-Banks-2010 61

Massimiliano Passaro, Responsabile Compliance Bancoposta Poste Italiane - La gestione del processo di compliance applicato ai servizi di investimento

(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/70/ - solo utenti registrati)

Il dottor Passaro ha svolto una ricostruzione “storica” dell’evoluzione di Poste Italiane e descritto l’attuale assetto organizzativo del gruppo.Passando al tema della “Compliance” in Bancoposta Passaro ha cominciato col descrivere il Sistema dei Controlli interni che è articolato in più livelli:

Supervisione - Organi Societari e Alta Direzione III Livello - Attività di revisione interna svolta da funzione dedicata in Bancoposta e Internal

Audit di Poste Italiane II Livello - Presidi nel continuo della gestione delle diverse tipologie di rischio con 2

funzioni (Compliance e Risk Mgmt) dedicata a operatività bancaria e finanziaria I Livello - controlli di linea accentrati e sul territorio.

Pasaro ha poi illustrato il “processo di Compliance in Bancoposta” che consiste di: analisi normativa: allineamento costante all’evoluzione normativa, interpretazione e

declinazione del processo target compliance risk assessment: analisi del livello di allineamento al target, identificazione e

valutazione delle aree di potenziale esposizione al rischio, identificazione degli interventi correttivi

monitoraggio: svolgimento dei controlli di II livello di Compliance e dell’effettiva implementazione degli interventi correttivi

valutazione di sintesi e action plan tenuto conto dell’evoluzione del contesto di business e operativo

perimetro normativo focalizzato sulle aree a maggior impatto sul cliente (es. prestazione servizi di investimento) al fine di assicurare elevati standard di correttezza e trasparenza.

In relazione al processo di compliance Passaro ha osservato quanto segue:

si opera con una articolazione organizzativa per fase del processo di compliance vi è una specializzazione delle risorse (legali/normative, organizzative, audit) per singola fase del processo, si attiva un “canale” costante di collaborazione con le altre

funzioni al fine di minimizzare i costi e valorizzare le specifiche competenze vi è una continua ricerca di azioni congiunte e/o coordinate verso le unità di

business/commerciali.

Inoltre la complessità aziendale e l’ampiezza del perimetro di analisi richiedono necessariamente una piattaforma informatica dedicata integrata che permetta:

alimentazione periodica della normativa integrazione delle componenti di Legal Inventory e di Mappatura Processi acquisizione e storicizzazione delle informazioni

Resoconto-Compliance-in-Banks-2010 62

fruibilità dei flussi informativi/report ai diversi livelli aziendali.

Al momento, ha ricordato Passaro la funzione di Compliance è in una fase di “Consolidamento” che prevede l’attivazione dei controlli di II livello sui servizi di investimento, la gestione del processo di compliance “integrato” su “strumenti di office automation”, il coordinamento e monitoraggio di progetti aziendali in materia di conformità (es. MiFID, Antiriciclaggio). È in corso inoltre l’implementazione del sistema informatico target a supporto del processo integrato di compliance.In futuro si passerà alla fase di “Messa a regime applicativo/ processo integrato” di Compliance che prevede:

completamento implementazione del sistema informatico target attivazione ulteriori report studio per la realizzazione di un “portale” intranet per il senior management per rafforzare

ulteriormente la diffusione delle informazioni e la consapevolezza del rischio (es. alert aggiornamenti normativi, principali pareri, TdB di sintesi).

Infine il dottor Passaro ha illustrato un caso di studio dedicato alla verifica di Compliance sui servizi di investimento.In sintesi il progetto è consistito nell’identificazione dei possibili rischio di non conformità rispetto ai processi aziendali impattati dalle attività dei Servizi di Investimento e nel censimento degli “attributi” del rischio per permettere una valutazione su più viste logiche (es. normativa/argomenti/ processo/unità organizzativa, prodotti).Dopo l’identificazione dei rischi si è passato alla loro valutazione “qualitativa” e alla identificazione delle possibili azioni correttive.

Per la valutazione finale di ciascun rischio, l’assessment qualitativo è integrato nel continuo dalle evidenze dei controlli di II livello di compliance (positivo, adeguato con aree di miglioramento,insufficiente). Si è inoltre proceduto con la mappatura dei controlli di II livello di Compliance con chiara identificazione dell’esecutore (declinazione concreta degli “accordi di servizio” con funzione di revisione interna).

La valutazione di sintesi a livello di singolo rischio è assegnato sulla base della combinazione tra l’esposizione al rischio residuo determinata ex-ante e le evidenze del monitoraggio di II livello risultanti dai controlli ex-post.

In conclusione del suo intervento Passatore ha sintetizzato gli elementi chiave della esperienza di Banco Poste in tema di controlli.

Processo di compliance:o articolato su tre dimensioni: scelte strategiche, assetti organizzativi e procedurali,

comportamento operativoo come risultato congiunto dell’assessment ex-ante e delle evidenze dei controlli di II

livello di compliance o “accentrato” nel continuo con ricerca di una costante “interazione” con i process

owner (rilevanza dei flussi informativi) Specializzazione delle risorse (articolazione organizzativa della Funzione per “fase del

processo” di compliance) Costante attenzione nell’indirizzare la soluzione delle anomalie riscontrate (es. spiccato

ruolo di coordinamento nei progetti aziendali di adeguamento normativo) e nella verifica degli effetti delle azioni di mitigazione suggerite

Coinvolgimento nei processi di innovazione e su tematiche di formazione (“prevenzione”) Importanza di una piattaforma informatica dedicata e integrata a supporto.

Resoconto-Compliance-in-Banks-2010 63

David Sabatini, Responsabile Settore Finanza ABI - L’evoluzione del ruolo della Funzione Compliance nei servizi di investimento(Slide disponibili nella Compliance Community di ABIFormazione http://www.compliance-community.it/documents/69/ - solo utenti registrati)

Il dottor Sabatini ha illustrato l'evoluzione del ruolo della Funzione Compliance nei servizi di investimento cominciando col richiamare le “Linee Guida ABI, ASSOSIM, FEDERCASSE” in tema di rapporti tra la funzione compliance e le altre funzioni coinvolte nella definizione delle politicheCommerciali.

Sabatini ha ricordato le recenti indicazioni delle Autorità sul ruolo della funzione compliance, indicazioni più volte richiamate da diversi relatori nel corso dell’intero convegno.In varie occasioni/documenti le Autorità hanno richiamato l’attenzione degli intermediari sull’importanza della funzione di conformità alle norme; contemporaneamente è stato evidenziato lo scarso coinvolgimento della funzione compliance nei processi di innovazione e nella definizione delle politiche commercialiInoltre nel corso di varie ispezioni svolte dalla Vigilanza (come riportato da Banca d’Italia nel convegno Compliance in Banks 2009) sono emerse criticità quali:

inadeguata integrazione nella realtà aziendale della funzione compliance; problemi di affidabilità, completezza e tempestività della rendicontazione da parte della

funzione compliance verso gli organi di vertice; inadeguato raccordo della funzione compliance con le altre funzioni di controllo.

Anche la CONSOB nell’ambito delle proprie ispezioni ha rilevato alcune criticità nell’operatività degli intermediari, in particolare con riguardo: “ai criteri di definizione delle politiche commerciali alla luce del dovere di assicurare la cura dell’interesse della clientela e di contenere e gestire i conflitti d’interesse” (Consob –Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in http://www.consob.it/main/documenti/news/2010/anno_xvi_n-06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16)

Gli auspici delle Autorità riguardo le politiche commerciali degli intermediari sono:

adozione di un modello di business incentrato sul servizio reso al cliente anziché su logiche di prodotto;

processo bottom up di definizione del budget; valutazione del rischio di non conformità relativo alle scelte strategiche e di budget; previsione di obiettivi qualitativi fra i criteri ispiratori del sistema incentivante formalizzazione dei processi e delle procedure; maggiore coinvolgimento della funzione compliance nel processo di definizione delle

politiche commerciali.

Sabatini ha poi presentato e commentato le “Linee Guida Interassociative” nate dal lavoro congiunto di ABI, ASSOSIM e FEDERCASSE che hanno ritenuto opportuno definire principi di

Resoconto-Compliance-in-Banks-2010 64

best practice in tema di rapporti tra la funzione di compliance e le altre funzioni aziendali coinvolte nella definizione delle politiche “commerciali”.

I lavori di redazione delle Linee Guida che hanno avuto inizio nel mese di aprile 2010 e si sono conclusi nel mese di luglio scorso, hanno visto il coinvolgimento di 19 banche.Prima e durante i lavori vi sono stati alcuni incontri informali con i competenti uffici della CONSOB.Nel mese di novembre è attesa una comunicazione da parte della stessa CONSOB con una presa d’atto delle Linee Guida.

Passando ai contenuti delle Linee Guida, sono stati individuati 6 temi del modello di business:

1. Prodotti servizi e pricing2. Sistema incentivante e conflitti di interesse3. Canali distributivi4. Profilatura e segmentazione della clientela5. Inducements6. Budget.

Sabatini ha sottolineato due componenti fondamentali delle linee guida: policy scelte strategiche.

Per le policy, Sabatini ha sottolineato le seguenti caratteristiche delle Linee Guida:

sono redatte nel rispetto del principio di proporzionalità possono essere uniche (trasversali) o diversificate per specifici argomenti possono costituire documenti autonomi o essere eventualmente integrate nelle disposizioni

interne già adottate dagli intermediari contengono i criteri procedurali e i principi generali che guidano l’elaborazione di tutti gli

eventuali documenti concorrenti alla programmazione e alla realizzazione degli obiettivi commerciali dell’azienda.

In tal ambito la Compliance:

esprime le proprie valutazioni sui rischi di non conformità derivanti dalle scelte in materia di politiche commerciali;

deve essere coinvolta nel processo di definizione delle linee guida aziendali e/o delle policy aziendali.

Il parere della funzione compliance si basa sulle disposizioni normative e regolamentari vigenti, nonché su eventuali codici/regole autonomamente adottati dall’intermediario.

Per quanto riguarda la strategia , per la definizione delle politiche commerciali, ciascun intermediario deve ispirarsi, nella propria regolamentazione interna, a quanto deliberato nelle Linee Guida aziendali così da servire al meglio gli interessi della clientela.

La regolamentazione interna deve disciplinare, ad esempio: strategie commerciali che riguardino l’ingresso in nuovi mercati con servizi e/o prodotti l’estensione delle aree geografiche d’interesse

Resoconto-Compliance-in-Banks-2010 65

il focus su specifiche fasce di clientela l’inserimento in catalogo di nuove tipologie di prodotti la stipula di accordi di collaborazione con enti terzi; l’offerta di prodotti propri e/o l’offerta di prodotti di terzi mappatura dei prodotti per livello di rischio e tipologia di clientela destinataria la progettazione delle modalità di prestazione dei servizi gli obiettivi di masse e reddituali e quelli, ad esempio, di customer satisfaction la policy sugli inducement la pricing policy.

A questo livello la funzione Compliance, con riguardo alla documentazione relativa alle scelte strategiche:

è coinvolta dalle altre funzioni competenti per le parti di suo interesse; esegue un controllo di coerenza con i principi di primo livello, anche sulle singole proposte

ad hoc, prima della loro sottoposizione all’organo decisionale competente.

Infine Sabatini ha espresso alcune considerazioni finali sui contenuti delle Linee Guida; esse:

hanno un carattere essenzialmente procedurale; non descrivono i poteri ed i limiti della funzione di compliance, essendo questi già definiti

dal legislatore comunitario e nazionale; chiariscono che la funzione compliance non ha alcun potere di veto sull’assunzione, da parte

dell’Organo di vertice, delle scelte strategiche sul modello di business; prevedono un’adeguata formalizzazione delle interazioni fra le diverse funzioni coinvolte

nei processi aziendali (tracking dei processi e delle decisioni dell’intermediario).

In conclusione date le novità previste nelle Linee Guida, la loro implementazione avverrà secondo un’ottica di gradualità e di progressivo adeguamento da parte degli intermediari in coerenza con la natura, le caratteristiche e le dimensioni della loro operatività.

Resoconto-Compliance-in-Banks-2010 66

Allegati

Riepilogo della normativa di riferimento citata nel convegno

Bank for International Settlements (BIS), “Compliance and the compliance function in banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf

Banca d’Italia, “Disposizioni di Vigilanza - La funzione di conformità (compliance)”, 12 luglio 2007, http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/provv_9_7_07.pdf

Provvedimento Banca d'Italia/Consob, “Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio”, 29 ottobre 2007, disponibile in html http://www.consob.it/main/documenti/Regolamentazione/normativa/bi_consob_29_ott_2007.htm e pdf http://www.consob.it/documenti/Regolamentazione/normativa//bi_consob_29_ott_2007.

ISVAP, Regolamento N. 20 del 26 marzo 2008, “Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private”, italiano http://www.isvap.it/isvap_cms/docs/F32521/Regolamento_020.zip e inglese http://www.isvap.it/isvap_cms/docs/F14757/ISVAP%20Regulation%2020_EN.pdf

Committee of European Banking Supervisors (CEBS), Guidebook on Internal Governance (CP 44), 13 ottobre 2010, in http://www.c-ebs.org/cebs/media/Publications/Consultation%20Papers/2010/CP44/CP44.pdf

CESR, The Committee of European Securities Regulators, “Inducements: Good and poor practices”, 19 aprile 2010, in http://www.cesr-eu.org/data/document/10_296.pdf

Kaarlo Jännäri, Report on Banking Regulation and Supervision in Iceland: past, present and future, 30 marzo 2009 http://eng.forsaetisraduneyti.is/media/frettir/KaarloJannari__2009.pdf

Special Investigation Commission (SIC), Summary of the Report’s Main Conclusions, 12 aprile 2010 http://sic.althingi.is/pdf/RNAvefKafli2Enska.pdf

CONSOB, Delibera n. 17297 in vigore dal 1° luglio 2010, Disposizioni concernenti gli obblighi di comunicazione di dati e notizie e la trasmissione di atti e documenti da parte dei soggetti vigilati in http://www.consob.it/main/documenti/Regolamentazione/normativa/reg17297.htm

ABI, Assosim, Federcasse, Linee guida interassociative per l’applicazione delle misure Consob di livello 3 in tema di prodotti finanziari illiquidi, 5 agosto 2009, http://www.creditocooperativo.it/archivio/50554.PDF

Banca d’Italia, “Nuove disposizioni di vigilanza prudenziale per le banche” http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud (circolare della Banca d'Italia n. 263 del 27 dicembre 2006, e successivi aggiornamenti, con la quale sono stati recepiti le direttive comunitarie 2006/48/CE e 2006/49/CE ed il documento "Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali.

Resoconto-Compliance-in-Banks-2010 67

Nuovo schema di regolamentazione" del Comitato di Basilea per la vigilanza bancaria, cd. "Basilea II"). Il testo indicato qui di seguito è quello della circolare n. 263 come modificato dal 3° aggiornamento del 15 gennaio 2009, pdf zip http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud/circ_263_2006.zip

Bank for International Settlements (BIS), “Compliance and the compliance function in banks”, 29 aprile 2005, http://www.bis.org/publ/bcbs103.pdf

Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 in http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf

Committee of European Banking Supervisors (CEBS), Consultation paper (CP 24) High-level principles for risk management, 8 April 2009, in http://www.c-ebs.org/getdoc/0861a22e-0eb8-4449-9b3a-f4b1959267c7/CP24_High-level-principles-for-risk-management.aspx

CONSOB, Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo a fini di riciclaggio e di finanziamento del terrorismo delle società di revisione iscritte nell’Albo speciale previsto dall’art. 161 del Decreto Legislativo 24 febbraio 1998, n. 58 e contemporaneamente iscritte nel Registro dei revisori contabili, ai sensi dell’art. 7, comma 2, del Decreto Legislativo 21 novembre 2007, n. 231, documento di consultazione, 11 ottobre 2010 in http://www.consob.it/main/documenti/Regolamentazione/lavori_preparatori/consultazione_revisione_20101011.htm?hkeywords=&docid=1&page=0&hits=10

Autorità Garante della Concorrenza e del Mercato, Provvedimento n. 16249 relativo all’istruttoria Intesa Sanpaolo-IMI, qui in pdf http://www.agcm.it/AGCM_ITA/DSAP/DSAP_287.NSF/0/c5ef609b3245d345c125725700564791/$FILE/p16249.pdf

Commissione delle Comunità Europee, Regolamento (ce) n. 802/2004 della commissione 21 aprile 2004 di esecuzione del regolamento (CE) n. 139/2004 del Consiglio relativo al controllo delle concentrazioni tra imprese (testo consolidato) qui in pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CONSLEG:2004R0802:20081023:IT:PDF

Raccomandazione della Commissione del 30 aprile 2009 sulle politiche retributive nel settore dei servizi finanziari (2009/384/CE) qui in pdf http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:120:0022:0027:IT:PDF

Financial Stability Board, Improving Financial Regulation, Report to G20 Leaders, 25 September 2009 qui in pdf http://www.financialstabilityboard.org/publications/r_090925b.pdf

Bank for International Settlements (BIS), Compliance and the compliance function in banks, 29 aprile 2005, qui in pdf

Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 qui in pdf http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf

Banca d’Italia, Le nuove disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, 4 marzo 2008, qui in pdf http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/provv/disposizioni_040308.pdf)

CONSOB Notiziario settimanale - anno XVI - N° 6 - 8 febbraio 2010 in http://www.consob.it/main/documenti/news/2010/anno_xvi_n-06_08_febbraio_2010.htm?hkeywords=&docid=0&page=0&hits=16

Resoconto-Compliance-in-Banks-2010 68

Link Il sito ufficiale di “Compliance in Banks 2010 - La sfida di integrazione dei controlli

interni” http://www.abieventi.it/eventi/1234/ Il programma ufficiale

http://www.abieventi.it/public/files/eventi/compliance-2010/programma/Compliance_2010_Programma_definitivo.pdf 546 K 2 pp.

Compliance Community di ABI http://www.compliance-community.it/ ComplianceNet http://www.compliancenet.it/ ComplianceNet - Resoconto del convegno ABI "Compliance in Banks 2008" - parte prima

http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-parte-prima seconda http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-parte-seconda e terza http://www.compliancenet.it/content/resoconto-del-convegno-abi-compliance-banks-2008-parte-terza

Compliance in Banks 2007 – Intervista a Marco Pigliacampo di ABI Formazione http://www.compliancenet.it/content/compliance-banks-2007-intervista-marco-pigliacampo-abi-formazione

ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima) http://www.compliancenet.it/content/abi-compliance-banks-2007-resoconto-degli-interventi-parte-prima (seconda http://www.compliancenet.it/content/abi-compliance-banks-2007-resoconto-degli-interventi-parte-seconda , terza http://www.compliancenet.it/content/abi-compliance-banks-2007-resoconto-degli-interventi-parte-terza e quarta http://www.compliancenet.it/content/abi-%E2%80%93-compliance-banks-2007-%E2%80%93-resoconto-degli-interventi-parte-quarta)

ABICS – What do you use this tool for? Strumento di supporto alla performance http://www.compliancenet.it/content/abics-what-do-you-use-tool-strumento-di-supporto-alla-performance

ABI, PriceWaterhouse&Cooper, Libro Bianco sul Pillar 2, Il processo ICAAP di autovalutazione del capitale: le possibili soluzioni per le banche italiane in http://www.bancariaeditrice.it/prodotti/vedi/prodotto/id/933/libro-bianco-sul-pillar-2

AIFIRM – Associazione Italiana Financial Industry Risk Manager http://www.aifirm.com/ Arbitro Bancario Finanziari (ABF http://www.arbitrobancariofinanziario.it/) Associazione Italiana Compliance (AICOM http://www.assoaicom.org/ ) Associazione Italiana Internal Auditors (AIIA http://www.aiiaweb.it/ )

Resoconto-Compliance-in-Banks-2010 69

L’impegno di ComplianceNet per la diffusione della cultura della Compliance

ComplianceNet è impegnata da anni nell’opera di divulgazione delle tematiche della compliance, della privacy e della security.Di seguito alcune delle opere che ComplianceNet ha realizzato o tradotto per aumentare la diffusione della cultura della compliance.Tutti i documenti sono liberamente scaricabili dal sito www.compliancenet.it e possono essere utilizzati secondo le licenze indicate nelle opere stesse.

Ebook: “Sei lezioni sulla privacy” http://www.compliancenet.it/content/sei-lezioni-sulla-privacy-parte-sesta-marketing-e-comunicazioni-commerciali

traduzione di “COBIT: Obiettivi di controllo IT per Basilea II” http://www.compliancenet.it/content/cobit-obiettivi-di-controllo-it-basilea-ii-disponibile-la-traduzione-italiano

traduzione di “Obiettivi di controllo IT per la Sarbanes-Oxley”di ISACA http://www.compliancenet.it/content/isaca-obiettivi-di-controllo-it-la-sarbanesoxley-liberamente-scaricabile-italiano

traduzione di “Risk IT – gestione dei rischi informatici” di ISACA (primi cinque capitoli) http://www.compliancenet.it/content/risk-it-gestione-dei-rischi-informatici-traduzione-in-italiano-dei-primi-cinque-capitoli

traduzione di “Aspetti economici del crimine online” di Tyler Moore, Richard Clayton e Ross Anderson http://www.compliancenet.it/content/aspetti-economici-del-crimine-online-tyler-moore-richard-clayton-ross-anderson-italiano

ComplianceNet ha inoltre convertito in formato epub: numerosi documenti delle autorità di vigilanza (Banca d’Italia, CONSOB, Garante per la protezione dei dati personali); l’elenco completo è in http://www.compliancenet.it/category/compliancenet/epub . Tra questi:

Banca d’Italia, “Lo stato del sistema bancario italiano e le prospettive per l’attività normativa”, 17 novembre 2010, in http://www.compliancenet.it/documenti/enria-171110.epub

Banca d'Italia: "La revisione delle regole prudenziali: i possibili effetti su banche e imprese" audizione alla Camera dei Deputati di Anna Maria Tarantola, Vice Direttore Generale della Banca d’Italia, 7 ottobre 2010, in: http://www.compliancenet.it/documenti/visco_genova_24_settembre2010.epub

Banca d'Italia: "Le competenze, le professionalità, l’adattabilità" ”- intervento di Ignazio Visco, Vice Direttore Generale della Banca d’Italia, al convegno Confindustria “Occupazione e Competitività. Le proposte di Confindustria per crescere adesso”, 24 settembre 2010, in:http://www.compliancenet.it/documenti/visco_genova_24_settembre2010.epub

Banca d’Italia: “Il credito specializzato: funzioni, rischi, azione di vigilanza” intervento di Anna Maria Tarantola, Vice Direttore Generale della Banca d’Italia, al convegno AIBE – Assifact – Assilea – Assofin ”, 23 settembre 2010 , in http://www.compliancenet.it/documenti/tarantola_230910.epub

Banca d’Italia: “Provvedimento recante gli indicatori di anomalia per gli intermediari”, 27 agosto 2010, in http://www.compliancenet.it/documenti/100829-provv_ind_anom.epub

Banca d’Italia: Trasparenza – “Domande frequenti sul Provvedimento del 29 luglio 2009 e successive modificazioni”, 27 luglio 2010 inhttp://www.compliancenet.it/documenti/100727-Nuove_F_A_Q.epub

Banca d’Italia, “Continuità operativa in casi di emergenza”, in Bollettino di Vigilanza Numero 7, luglio 2004 in http://www.compliancenet.it/documenti/200407-bolvig-continuita.epub

Banca d’Italia "Il nuovo approccio regolamentare al rischio di riciclaggio" in http://www.compliancenet.it/documenti/240610_mieli.epub 25/06/2009

….

E tanto altro ancora in http://www.compliancenet.it/