LA COMPLIANCE IN BANCA: VERA SCELTA DI CONFORMITA' O PURO CONFORMISMO?

di Luigi Adamuccio

La diligenza è un grandissimo aiuto
anche in chi possiede un mediocre ingegno

Seneca

La nuove disposizioni in materia di “compliance” che la Banca d’Italia ha pubblicato nel mese di luglio stanno alimentando un ampio dibattito nel settore bancario.

Qui di seguito offro un mio modestissimo contributo alla riflessione, anche in considerazione delle scelte organizzative che le banche saranno giocoforza portate a fare da qui a breve.
 
Il tema della “compliance”, che è parte integrante del sistema dei controlli interni di una banca, va letto, a mio avviso, tenendo costantemente presente quanto previsto dal nuovo Accordo del Comitato di Basilea (c.d. Basilea 2) circa il governo dei “rischi operativi”.

Per rischio operativo si intende: “il rischio di subire perdite derivanti dall’inadeguatezza o dalla disfunzione di procedure, risorse umane  e sistemi interni, oppure da eventi esogeni. Rientrano in tale tipologia, tra l’altro, le perdite derivanti da frodi, errori umani, interruzioni dell’operatività, indisponibilità dei sistemi, inadempienze contrattuali, catastrofi naturali”.

ABI Lab, di contro, nella sua tassonomia fornisce una chiara definizione del processo di “Gestione della compliance”: “Gestione efficace ed efficiente del rischio di sanzioni legali o amministrative, di rilevanti perdite o danni reputazionali derivanti dal mancato rispetto di leggi, regolamenti e codici di autoregolamentazione, procedure interne e codici di condotta – in conformità con quanto disposto dal comitato di Basilea e dalla indicazioni della Banca d’Italia”.

Tenuto conto che nel rischio operativo è compreso il rischio legale ma non è compreso quello strategico e reputazionale, la “compliance” ricade in parte nell’ambito dei rischi operativi, con le ovvie conseguenze nel governo del relativo rischio (“compliance risk”), che va identificato, valutato e tenuto costantemente sotto controllo al pari, seppure con le sue peculiarità, di ogni altro rischio del business bancario.

Con la “compliance”, così come con Basilea 2, le banche sono pertanto chiamate e compiere un salto di qualità che passa attraverso importanti scelte organizzative e difficili processi di cambiamento culturale del proprio approccio alle regole, per far sì che ogni processo interno all’azienda e che impatta con la clientela sia in linea con le vigenti disposizioni esterne o di eteroregolamentazione (leggi e regolamenti) o interne o di autoregolamentazione (codici di condotta, codici etici).

Il salto di qualità richiesto si intravede anche dalla mutata impostazione che la Banca d’Italia dà alle sue ispezioni: la logica non è più quella della verifica del mero rispetto formale (con produzione di un documento che descrive il processo di gestione della “compliance” statico, non manutenuto), ma sostanziale (con produzione di un documento gestito dinamicamente e sempre aggiornato, costantemente allineato con l’effettiva operatività), al di là dei rapporti effettivamente esistenti tra le unità operative e dell’apparenza delle strutture formalizzate.

Secondo la tendenza prevalente nelle “best practices” internazionali, la Funzione di “compliance” si occupa principalmente delle conformità dell’operatività delle banca alle normative che incidono sui processi di rapporto con la clientela e alle normative che assegnano responsabilità civili o penali agli esponenti aziendali.
 
Lo stesso servizio “ABICS – ABI Compliance System”, che l’ABI mette a disposizione dei propri associati che lo richiedono, non è altro che un “Legal inventory”, una sorta di archivio organico, il cui perimetro normativo comprende solo i seguenti argomenti: antiriciclaggio, privacy, trasparenza dei servizi bancari, antiusura, normativa antitrust, codice di consumo, servizi di investimento per la clientela retail (MIFID), market abuse, assicurazioni, responsabilità amministrativa degli enti, sicurezza e salute dei lavoratori.

Come può facilmente evincersi, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l’esercizio dell’attività di intermediazione, le gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore.

Tutti argomenti che danno la misura dell’affidabilità di una banca e che puntano tutto sul rapporto di fiducia che deve necessariamente esistere tra i clienti ed una istituzione come la banca che, tra le varie funzioni, esercita quella di intermediazione creditizia tra coloro che offrono capitali e coloro che li richiedono; funzione con un importante contenuto economico-sociale, riconosciuto dalla Costituzione nell’art. 47, per via dello stimolo, attraverso la formazione del risparmio e del suo indirizzo verso le attività produttive, all’espansione dell’intero sistema economico.

Nel rafforzamento e nella preservazione del buon nome delle banche e della fiducia del pubblico nella loro correttezza operativa e gestionale, alle stesse banche le disposizioni di vigilanza riconoscono inequivocabilmente piena discrezionalità nella scelta delle soluzioni organizzative più idonee ed efficaci (secondo il  principio  della proporzionalità, in coerenza con le specifiche caratteristiche dimensionali e operative).

L’istituzione di una apposita Funzione, più o meno strutturata e dimensionata, appositamente  incaricata del gestione del rischio di conformità all’interno delle banche di dimensioni contenute parrebbe, pertanto, francamente eccessiva.

Tant’è che è previsto che le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possano:

• affidare lo svolgimento della funzione di conformità alle strutture esistenti incaricate delle gestione dei rischi o persino a soggetti terzi (es. altre banche ovvero organismi associativi di categoria), purché dotati di requisiti idonei in termini di professionalità e indipendenza;
• incaricare di compiti di conformità personale variamente inserito in diverse aree operative della banca, purché riferiscano direttamente al responsabile della Funzione per le questioni attinenti a detti compiti (prefigurando una sorta di struttura a matrice, con una dimensione verticale - le Funzioni - ed una dimensione orizzontale  - il Responsabile della “compliance”, visto meglio come un vero e proprio “Project Manager”).

Quest’ultima ipotesi, più snella, meno complessa, a mio avviso, non va trascurata: è sufficiente introdurre in banca un interlocutore che si prenda la responsabilità formale di tradurre le regole, già identificate e interpretate dagli esperti legali o organizzativi, in norme e processi aziendali.

Ciò che conta è che ci sia poi del personale variamente inserito in diverse aree operative della banca che riferisca direttamente al responsabile della Funzione per le questioni attinenti a detti compiti.

Ciò, soprattutto qualora le dimensioni di una banca non richiedano necessariamente la costituzione di una specifica Funzione, sufficientemente strutturata (scorporando, ad es., dalla Funzione Organizzazione il reparto che fino a quel momento si è occupato soprattutto di normativa e processi e lasciando in linea il reparto che si occupa più di sistemi e procedure informatiche).

Per la funzione di “compliance”, infatti, è centrale e fondamentale il rapporto tra l’interpretazione della norma, che trasforma la regola astratta in previsione concreta, e tutti i processi della banca su cui la stessa ha un impatto.
   
Indipendentemente dalle scelte organizzativa, ciò che imposta è la nomina di un responsabile della Funzione all’interno della banca, responsabile che può anche essere un componente del Consiglio di amministrazione, purché privo di deleghe.
 
In buona sostanza, la Banca d'Italia richiede:

• la nomina, da parte del Consiglio di amministrazione, sentito il Collegio sindacale, di un responsabile della conformità all’interno della Banca  (sul tipo di quella da molte banche effettuata per la gestione della “Business Continuity”) che possieda requisiti adeguati di indipendenza, autorevolezza e professionalità;
• una chiara e formalizzata individuazione e distinzione di ruoli e responsabilità ai diversi livelli (sempre sul tipo di quella da molte banche creata per la gestione della “Business Continuity”) dell’organizzazione della banca;
• la predisposizione di un documento interno che indichi responsabilità, compiti, modalità operative, flussi informativi, programmazione e risultati dell’attività di “compliance”.

Circa la collocazione delle nuova Funzione, le disposizioni di vigilanza prevedono che la stessa vada in staff e non in linea.

La necessità di questa collocazione la si desume dal fatto che:

• la Banca d’Italia richieda che la Funzione di conformità alle norme sia indipendente (oltre che permanente);
• in caso di individuazione del responsabile della “compliance” tra i dirigenti  della banca, lo stesso non debba avere responsabilità dirette di aree operative né debba essere gerarchicamente dipendente da soggetti responsabili di dette aree;
• la funzione debba collaborare strettamente con il Consiglio di amministrazione (responsabile insieme  al collegio sindacale  della supervisione complessiva del sistema del rischio di conformità alle norme) ed il Direttore Generale, a seconda delle rispettive competenze,  nella:
• identificazione e valutazione dei principali rischi di non conformità a cui la banca è esposta;
• programmazione dei principali interventi studiati a rimedio dei rischi individuati;
• segnalazione delle violazioni più rilevanti, in termini di sanzioni, perdite operative o danni reputazionali.

 
La nuova Funzione, inoltre, deve essere diversa dalla revisione interna; questo lo si desume facilmente dal fatto che:

• la Banca d’Italia, nel sistema dei controlli interni, inserisca la Funzione di conformità nell’ambito delle funzioni di controllo sulla gestione dei rischi (controlli di secondo livello), descrivendo per la Funzione “compliance” un ruolo che la differenzia dalla Funzione di Revisione Interna (preposta ai controlli di terzo livello);
• la Banca d’Italia preveda che l’adeguatezza ed efficacia della Funzione di conformità siano sottoposte a verifica periodica da parte della revisione interna, per cui ne consegue che, per assicurare l’imparzialità delle verifiche, la Funzione di conformità non può essere affidata alla Funzione di Revisione Interna;
• la stessa Banca d’Italia, per le banche che si sono già dotate di una struttura incaricata delle conformità collocando i relativi compiti nella Funzione di Revisione Interna, preveda un graduale adeguamento alle disposizioni di vigilanza emanate nel luglio del corrente anno entro luglio 2008.    

I principali adempimenti che la Funzione di conformità è chiamata a svolgere sono:

• l’identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali;
• la proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformità identificati;
• la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna);
• la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di conformità;
• la verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché  di eventuali codici etici o altri standard di condotta applicabili alla banca;
• la consulenza e l’assistenza nei confronti degli organi di vertice della banca in tutte le materie in cui assume rilievo il rischio di non conformità;
• la collaborazione nell’attività di formazione del personale sulle disposizioni applicabili alle attività svolte al fine di diffondere una cultura aziendale improntata ai principi di onestà, correttezza e rispetto dello spirito e della lettera delle norme.

La percezione del valore dell’attività di “compliance” all’interno del sistema bancario non è univoca; a fronte di chi si muove per semplice dovere, perché gli viene imposto dalla normativa, c’è chi comincia a pensare che l’adeguamento alle norme sia fattore di vantaggio competitivo.

Non va, infatti, sottovalutato il fatto che lo specifico rischio sottostante (“compliance risk”), ossia  della perdita di reputazione, non può essere “facilmente” coperto con il capitale come accade per le altre tipologie di rischio.