Survey sulla Funzione Compliance: stato dell arte e prospettive Report delle informazioni raccolte

Transcript

1 Roma 18 aprile 2012 Prot. UAR/ Associati Loro Sedi Survey sulla Funzione Compliance: stato dell arte e prospettive Report delle informazioni raccolte La complessità del periodo attuale enfatizza l importanza del tema della conformità e quindi della corretta azione della Funzione Compliance, deputata a garantire l allineamento dell agire bancario alle norme cogenti sia esterne che di autoregolamentazione. L indagine, il cui report è riportato in allegato, si è proposta di indagare, a 4 anni dall entrata in vigore delle Disposizioni di Vigilanza della Banca d Italia e del Regolamento congiunto, lo stato dell arte e le prospettive di evoluzione della Funzione Compliance presso le banche ed i gruppi bancari italiani. Tra le 40 banche e gruppi rispondenti è stata rilevata una tendenza a dare alla Compliance, come già accade per l Internal Audit, un riporto funzionale diretto al Consiglio di Amministrazione. Soluzioni alternative sono ancora rappresentate dal riporto al Direttore Generale. Si sono riscontrati margini di ulteriore miglioramento a livello di integrazione della Funzione Compliance con le altre strutture aziendali. In questo senso si muovono ad esempio i citati Accordi di Servizio con l Internal Audit e maggiori sinergie con il Risk Management. L interrelazione tra queste funzioni è considerato elemento distintivo di un sistema di controlli idoneo ad assicurare la sana e prudente gestione nonché la correttezza dei comportamenti. Il perimetro della funzione è risultato esteso rispetto a quello core indicato dalla normativa. Infatti, comprende in genere tutte le materie bancarie, mentre restano escluse le materie non prettamente bancarie, presidiate solitamente dalla competente funzione specialistica (es. Tributaria, Bilancio ecc.). sede: 00I86 Roma Piazza del Gesù, 49 tel I fax abi@abi.it uffici: 20I23 Milano Via della Posta, 7 tel I0II fax I0I239 I050 Bruxelles Rue Wiertz, 50/28 tel. +32(0) fax +32(0)

2 Per quanto riguarda il processo Icaap (Internal capital adequacy assessment process) non risulta ancora chiaro se vi sia una previsione stringente in merito al ruolo della Funzione Compliance. E da approfondire se, oltre al contributo specifico sul rischio di conformità a cui la Funzione Compliance pare indubbiamente chiamata, essa debba collaborare anche in una sorta di supervisione anno per anno dell intero processo (in quanto processo di comunicazione verso l esterno) raccordandosi con l Audit per evitare duplicazioni di controllo, oppure, se essa, una tantum, si debba limitare a validare il regolamento interno che disciplina il processo Icaap stesso e a fornire il proprio contributo relativamente alla classificazione qualitativa del rischio reputazionale. In particolare, relativamente al ruolo della Funzione Compliance nell Icaap, l ABI effettuerà approfondimenti specifici con il gruppo delle banche aderenti ABICS (ABI Compliance System - L indagine ha rilevato la presenza della Compliance nel presidio ex-ante dei processi innovativi e nella valutazione dei nuovi prodotti e segnalato il coinvolgimento della Funzione Compliance nell organizzazione di momenti di formazione di tutto il personale sul tema della compliance, intesa come approccio culturale e attenzione aziendale. Si è registrata la necessità, invece, di approfondire metodologicamente le opzioni tecniche di valutazione/misurazione del rischio di non conformità per meglio supportare le decisioni e gli investimenti di gestione attiva di tale rischio. Circa i due terzi dei rispondenti, sebbene con molte cautele, riterrebbe utile ed innovativa l implementazione aziendale di un sistema di whistle blowing, ossia di un canale di segnalazione che garantisca la riservatezza del collaboratore quanto esso rende edotta l azienda di comportamenti di colleghi che risultino contrari a normativa interna o esterna. L analisi ha inoltre rilevato la presenza di un sistema incentivante per la Funzione Compliance, non legato alla performance della banca, in linea con le previsioni di Vigilanza. Auspicando che il report sia un utile spunto di riflessione a supporto delle attività di conformità aziendale, si coglie l occasione per porgere i migliori saluti. Giovanni Sabatini Direttore Generale ALLEGATO 2

3 Survey sulla Funzione Compliance Stato dell arte e prospettive Report sulle informazioni raccolte nell ottobre 2011 Febbraio 2012

4 Indice Executive Summary Premessa Report sulle risultanze della Survey condotta nel mese di ottobre 2011 L'indicazione "[G]" nel testo denota che il termine è trattato nel Glossario in calce alla relazione pag. 2

5 Executive Summary ottobre 2007, lo stato (FC) presso le banche ed i gruppi bancari italiani. : 1. temi per i quali la Funzione di Compliance può contribuire a generare valore aggiunto per la banca; 2. di raccogliere dati, opinioni e prassi lavorative che possono contribuire ad incrementare la curva di esperienza della specifica Area Professionale della FC bancaria; 3. di contribuire ad identificare i tempi sui quali il dibattito è più acceso anche per riproporli sulla Community ABI ( Con riferimento ai contenuti, la ricerca si è articolata in tre aree di indagine: A. Organizzazione della Funzione Compliance e suoi rapporti con le altre funzioni B. Attività specifiche della Funzione Compliance C. Strumenti adottati dalla Funzione Compliance mission della funzione; la quasi totalità delle banche ha fatto riferimento alla normativa, citandola espressamente nella propria descrizione. Interessanti i casi in cui si segnala di essere riferimento per il business ed i processi operativi. Compliance, come già accade per un riporto funzionale diretto al Consiglio di Amministrazione. Soluzioni alternative sono ancora rappresentate dal riporto al Direttore Generale. Nella maggior parte dei casi, il Responsabile della Funzione Compliance è anche Responsabile di Antiriciclaggio, mentre non sempre il delegato aziendale [G] per la segnalazione delle operazioni sospette coincide con il Responsabile di Antiriciclaggio. Ci sono ancora margini di perfezionamento a livello di integrazione della Funzione Compliance con le altre strutture aziendali. In questo senso si muovono ad esempio gli Accordi di Servizio [G] con tra queste funzioni è considerato elemento distintivo di un sistema di controlli idoneo ad assicurare la sana e prudente gestione e la correttezza dei comportamenti. Inoltre: il budget della funzione FC è segnalato in leggera crescita o stabile, la fascia di età del personale facente parte della Funzione Compliance aumento della dimensione media della Funzione. Si rileva la presenza della Compliance nel presidio ex-ante dei processi innovativi e nella valutazione dei nuovi prodotti. è quello consulenziale interno. pag. 3

6 Il perimetro nfatti per le banche rispondenti comprende in genere tutte le materie bancarie, mentre sono lasciate fuori le materie non esclusivamente bancarie, presidiate solitamente dalla funzione specialistica (es. Tributaria) della materia stessa. Per quanto riguarda il processo ICAAP non risulta ancora chiaro se vi sia una previsione stringente in merito al ruolo della FC oltre al contributo specifico sul rischio di conformità a cui la FC pare indubbiamente chiamata, essa debba collaborare anche in una sorta di (in quanto processo di comunicazione verso ) tantum si debba limitare a validare il regolamento interno che disciplina il processo ICAAP stesso ed a fornire il proprio contributo relativamente alla classificazione qualitativa del rischio reputazionale. In particolare, riguardo al ruolo della FC ne approfondimenti specifici con il gruppo delle banche aderenti ABICS [G] (www-.abics.eu). Viene segnalato il coinvolgimento della FC nella organizzazione di momenti di formazione di tutto il personale sul tema della compliance intesa come approccio culturale e attenzione aziendale. Quantunque molte banche dichiarino di essere ancora alla ricerca sul mercato di applicativi tecnologici dedicati, viene generalmente prodotta una reportistica di sintesi in merito alla sizione al rischio di compliance [G] per i Vertici aziendali. Si registra comunque la necessità di approfondire metodologicamente le opzioni tecniche di valutazione/misurazione del rischio di non conformità per meglio supportare le decisioni e gli investimenti di gestione attiva di tale rischio. Alla domanda se la Funzione Compliance effettui i Compliance test [G] per verificare che i presidi di conformità implementati mantengano nel tempo la loro efficacia ai fini della mitigazione del rischio di Compliance, il 40% delle banche rispondenti ha risposto affermativamente, in prevalenza sui seguenti ambiti normativi: Servizi di investimento e MIFID (100%) Trasparenza (84,6%) Per la gestione del rischio reputazionale [G] non viene costituito un apposito team, ma in genere è il comitato rischi che si attiva, pre-crisi, al manifestarsi di tale rischio e post- crisi secondo un piano definito. In poco più di un terzo dei rispondenti La FC rappresenta un elemento di aggregazione di tutte le competenze interfunzionali necessarie per gestire tale rischio. aziendale di un sistema di whistle blowing [G]. pag. 4

7 Si è inoltre rilevata la presenza di un sistema incentivante [G] per la Funzione Compliance stessa, non legato alla performance della banca 1, in linea con le previsioni di Vigilanza. A seguito della survey, il cui estratto è stato presentato nel co rispondenti, in sede ABI. Sono state analizzate tutte le tematiche presentate, ivi comprese le Risposte Aperte (sono considerate Risposte Aperte anche tutte quelle parti del questionario che permettevano ai fornite dalle banche stesse. Alcune normative (es. gius-lavoristiche, tributarie, bilancio, ecc.) non inserite nel perimetro sono affidate a funzioni specialistiche. Non vi è uniformità sul modo in cui nelle diverse realtà la FC le supporta, ossia se le affianca una tantum condividendo metodologie di compliance risk management o se da esse riceve solo dei flussi informativi, oppure ancora se tali materie specialistiche hanno un controllo di primo e di terzo livello. Sono stati anche citati casi in cui pur essendo la normativa fiscale fuori dal perimetro della FC, la Vigilanza ha richiesto a tale funzione controlli su Scudo Fiscale o Imposta di Bollo. Sempre relativamente Modello Organizzativo (231), che rientra nel perimetro di attività della FC di tutte le banche. La FC di alcune banche verifica che le materie siano presidiate, che il MOG contenga tutti gli elementi e contribuiscono ad esso individuando nuovi reati. Il tema della sicurezza ambientale ad esempio (trattamento rifiuti, materiale tossico, ecc., della banca), non essendo materia bancaria non viene trattato da nessuna banca partecipante alla survey. Rientra però nel Modello Organizzativo, per cui una soluzione adottata prevede che la parte relativa alla sicurezza ambientale, tema non di competenza della FC, sia verificata dalla funzione specialistica che tratta tale materia. Relativamente ai reclami vi è stato il seguente dibattito. Alcune banche includono nelle attività della FC il monitoraggio (censimento, rispetto dei tempi di risposta, ecc.), le conseguenti azioni relative a tutti i reclami, ivi compresi i reclami non MIFID (c.d. bancari). Premesso che la FC debba avere libero accesso al registro dei reclami (se non gestito direttamente) altri casi esclusa dal perimetro della FC, sulla scia di indicazioni dalla Vigilanza a seguito di ispezioni, mentre rimaneva incluso il monitoraggio di tutti i 1 In adempimento alle Disposizioni della Banc banche e nei gruppi bancari del 30 marzo I Per i responsabili e il personale di livello più elevato delle funzioni di controllo interno ( svolto. I meccanismi di incentivazione, eventuali, devono essere coerenti con i compiti assegnati e indipendenti dai risultati conse evitare, salvo valide e comprovate ragioni, bonus di sostenibilità aziendale (es. contenimento dei costi; rafforzamento del capitale) a condizione che non siano fonte di possibili pag. 5

8 reclami. La trattazione del reclamo implica una transazione da parte della banca. Poiché in talune interpretazioni tali transazioni particolari con il cliente vengono interpretate come espressione di una funzione operativa non propria della FC, il non includere la trattazione dei reclami nel perimetro di competenza è sembrato in tali casi corretto. Altra tematica emersa è stata quella dei controlli sui Servizi di Investimento. In generale i controlli vengono effettuati tramite Accordi di servizio apposita check list fornita da FC. A tale proposito è emerso anche il tema dei controlli a distanza, che per le banche di classe 1 2 sostituiscono completamente i controlli in loco. Sempre per quanto riguarda i controlli svolti sui Servizi di Investimento, è stato sottolineato dai partecipanti alla riunione che le attività della Compliance dovrebbero focalizzarsi su processi e su macro indicatori e non sui singoli casi concreti. Tale commento si riferisce nello specifico alle tematiche dei controlli di conformità sulla profilazione della clientela, sulla valutazione di appropriatezza e di adeguatezza. o inoltre che la Funzione Compliance - come peraltro previsto nelle richiamate disposiz vedi nota 1) - partecipa non solo nella validazione delle politiche di remunerazione, ma con un ruolo proattivo collabora con la funzione risorse umane e con il management nella definizione delle politiche di remunerazione e incentivazione, anche se il livello di coinvolgimento della Compliance varia notevolmente da banca a banca. In materia le Disposizioni che hi, compliance, risorse umane, pianificazione strategica) devono essere adeguatamente coinvolte nel processo di definizione delle politiche di remunerazione con modalità tali da assicurarne un funzioni tenute a svolgere controlli anche ex post; conseguentemente, il coinvolgimento della compliance in questa remunerazione al quadro normativo. Riguardo al Market Abuse, due banche hanno dichiarato di avere costituito apposito inclusa nel perimetro della FC mentre prima se ne occupava completamente la Funzione Finanza. Antiriciclaggio. Da taluni è stato sottolineato FC, potrebbe andare a scapito delle attività peculiari della FC stessa, in quanto il rischio di riciclaggio prevede sanzioni penali in capo al responsabile della FC. Pertanto è necessario fornire in tali casi un adeguato incremento delle risorse accordate. Si è parlato anche del Delegato Aziendale per la segnalazione delle operazioni sospette. Solo presso pochi intermediari si è sostenuto che il Responsabile di Compliance e Antiriciclaggio non può essere anche Delegato Aziendale per la segnalazione delle operazioni sospette. 2 Si veda il primo paragrafo in Premessa. pag. 6

9 Survey sulla Funzione di Compliance pag. 7

10 Premessa Alla ricerca hanno partecipato attivamente con una risposta al questionario complessivamente 40 banche e gruppi bancari: n. 5 Banche con totale attivo superiore a definite banche di operatività domestica e internazionale; n. 21 Banche con totale attivo inferiore a ma superiore a definite banche di con operatività domestica; n. 14 Banche con totale attivo (definite banche di operatività domestica. La rilevazione dei dati è avvenuta tramite questionario sviluppato in collaborazione con lo Studio Limentani & Partners di Milano e messo a disposizione delle banche via web previa comunicazione inviata dal Direttore Generale ABI di partecipare alla survey facendo rispondere il responsabile della Funzione Compliance della banca. Sono pervenute 40 risposte in tempo utile che hanno formato la base per I risultati sono stati interpretati secondo i seguenti criteri: 1. Valutazione delle risposte raggruppate per classe dimensionale del rispondente e produzione di tabelle statistiche riassuntive per ogni domanda; 2. Valutazione dei commenti integrativi inseriti dai singoli rispondenti; La survey è stata divisa in 3 macro aree, articolate a loro volta in 15 sezioni: A. Organizzazione della Funzione Compliance e suoi rapporti con le altre funzioni 1. Inquadramento della Funzione Compliance (FC) 2. Modello di Funzione Compliance (FC) adottato 3. Perimetro normativo e attività specifiche della FC 4. Processo ICAAP [G] 5. Rischio reputazionale [G] 6. Formazione B. Attività specifiche della Funzione Compliance 1. Compliance e politiche di remunerazione e incentivazione 2. Antiriciclaggio 3. Controlli di conformità sui servizi di investimento 4. Esternalizzazione del processo di trattamento del contante C. Strumenti adottati dalla Funzione Compliance 1. Controlli di conformità a distanza 2. Accordi di servizio [G] (ADS) 3. Whistle-blowers [G] 4. Il Compliance test [G] 5. Il reporting pag. 8

11 Report sulle risultanze della Survey condotta nel mese di ottobre Area A.: Organizzazione della Funzione Compliance e suoi rapporti con le altre funzioni La maggior parte dei responsabili di FC rispondenti, indica che la funzione debba essere ulteriormente rafforzata dal lato dimensionale; in proporzione, le banche dalle più grandi alle più piccole richiedono in media un aumento di organico fra il 50%, e il 10%. In generale sarebbe auspicabile la presenza di maggiori competenze di tipo Legale, Audit, Finanza e Organizzazione. Tabella 1: Che incremento percentuale delle risorse full time renderebbe la FC adeguatamente dimensionata? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale 0%-10% 20% 48% 43% 43% Almeno 30% 40% 24% 36% 30% Almeno 50% 40% 29% 21% 28% La fascia di età del personale facente parte della funzione non è elevata; contrattuale, economico, la permanenza in azienda, si rilevano al pari delle altre funzioni di controllo. Relativamente ai riporti gerarchici e funzionali, si rileva una maggioranza di riporti funzionali al Consiglio di Amministrazione e gerarchici al Direttore Generale. Per banche della classe 1 si rilevano riporti gerarchici al CRO e funzionali al Consigliere Delegato. Tabella 2: A chi riporta il responsabile della FC? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale Riporto gerarchico e funzionale al DG 0% 5% 43% 18% Riporto gerarchico e funzionale al DG 0% 14% 7% 10% Riporto gerarchico al DG e funzionale a CdA 20% 38% 21% 30% Altro 80% 43% 29% 43% In quasi tutte le banche partecipanti alla survey si è reso necessario sostituire almeno una volta il Responsabile di Compliance, per motivi di carattere organizzativo. 3 Il questionario non ha la pretesa di avere valore statistico. Si stratta di una rilevazione avente lo scopo di individuare qualitativamente le tendenze dei principali aspetti organizzativi e metodologici della conformità bancaria e finanziaria oggi. pag. 9

12 Il budget della funzione è segnalato in leggera crescita o stabile. stato richiesto di descrivere la mission della funzione; la quasi totalità delle banche ha fatto riferimento alla normativa, citandola espressamente nella propria descrizione. Interessanti i casi in cui si segnala di essere riferimento per il business ed i processi operativi. nteressante notare che la funzione dispone di applicativi tecnologici; nessuna banca partecipante alla survey segnala di non essere dotata di strumenti. Tabella 3: La FC dispone di applicativi tecnologici dedicati alla gestione del processo aziendale di compliance risk management? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale Sistema GRC 40% 33% 29% 33% Software sviluppato internamente 40% 14% 0% 13% In fase di scelta (SW presente in banca) 0% 10% 0% 5% In fase di scelta SW dal mercato 0% 19% 14% 15% Programmi MS Office 20% 24% 57% 35% Nessun strumento 0% 0% 0% 0% Relativamente al modello di compliance adottato, le banche della classe 1 segnalano un modello misto [G], mentre le banche con operatività domestica utilizzano modelli sia accentrati che decentrati [G]. Tabella 4: Modello di compliance adottato N Rispondenti: 34 Classe 1 Classe 2 Classe 3 Totale Accentrato 20% 45% 56% 44% Decentrato 0% 5% 22% 9% Misto 80% 50% 22% 47% Il perimetro per le banche rispondenti comprende in genere tutte le materie bancarie, mentre restano escluse le materie non esclusivamente bancarie, presidiate solitamente dalla funzione specialistica (es. Tributaria) della materia stessa. pag. 10

13 Tabella 5: Graduatoria ambiti normativi attualmente (2011) inclusi nel perimetro di competenza della Funzione Compliance Numero banche rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale % su totale % su totale % su totale classe classe classe % su totale 1 Trasparenza 100% 100% 100% 100% Abusi mercato, conflitti interesse, 2 operaz. Pers. 100% 100% 86% 95% 3 Privacy 100% 90% 93% 93% 4 Serv Investimento MiFID 100% 100% 71% 90% 5 Antiusura 100% 86% 86% 88% Politiche remuneraz., Sistema 6 incentivante 60% 90% 86% 85% 7 Antiriciclaggio e antiterrorismo 60% 81% 86% 80% 8 Monitoraggio reclami 100% 71% 86% 80% 9 Credito al consumo 80% 90% 57% 78% 10 Parti correlate, soggetti collegati 100% 71% 64% 73% 11 Resp. Amm.va enti (231/2001) 100% 71% 64% 73% 12 Serv Pagamento 60% 76% 36% 60% 13 Politiche commerciali 100% 67% 29% 58% 14 Disciplina emittenti 80% 62% 36% 55% 15 Intermediaz. Assicurativa 100% 52% 43% 55% 16 Disciplina mercati 80% 57% 36% 53% 17 Codice etico aziendale 60% 48% 57% 53% 18 Processo ICAAP 20% 43% 71% 50% Adempimenti obblighi 19 informativi CONSOB 80% 52% 36% 50% 20 Normativa antitrust 60% 48% 29% 43% 21 Rapporti dormienti 40% 38% 14% 30% 22 Disciplina finanz impr. 60% 33% 7% 28% Risoluz. Stragiudiziale 23 controversie 20% 19% 36% 25% 24 Salute e sicurezza lavoro 20% 24% 21% 23% 25 Altro 40% 14% 21% 20% 26 Previdenza complementare 40% 14% 14% 18% Requisiti onorabilità e professionalità amministrtori e 20% 5% 36% 18% 27 esp. Aziendali 28 Patti Chiari 40% 19% 7% 18% 29 Business continuity 0% 19% 14% 15% 30 Diritti azionisti 20% 10% 7% 10% Le attività rientranti nel processo di compliance risk [G] per le quali i rispondenti intravedono spazi di pag. 11

14 interventi di adeguamento per la mitigazione del rischio di Compliance, la misurazione quantitativa del rischio di non conformità. Tabella 6: Quali delle seguenti attività rientranti nel complessivo processo di compliance risk ritenete siano adeguatamente, non adeguatamente o non sono affatto implementate dalla FC? N Rispondenti: 40 Adeguatamente implementato: % Banche su totale Totale Non adeguatamente implementato: % Banche su totale Non implementato affatto: % Banche su totale Analisi normative 98% 3% 0% Individuazione gap conformità Proposta presidi per colmare gap Valutazione implementazione presidi Gestione rapporti vertice e BankIt Valutazione sistema premiante Valutazione adempimenti strutture DG Validazione normative interne Valutaz. Conformità nuovi progetti Consulenza alla struttura Verifica coerenza formazione Consulenz al vertice e soc del gruppo Verifica efficacia interventi adeguamento Misurazione rischio compliance 88% 13% 0% 83% 13% 5% 50% 48% 3% 88% 13% 0% 68% 30% 3% 23% 43% 35% 83% 15% 3% 75% 23% 3% 90% 10% 0% 33% 50% 18% 88% 13% 0% 50% 48% 3% 30% 40% 30% pag. 12

15 Relativamente alla misurazione/valutazione del rischio di Compliance (vedi Tabella 7), tale attività viene condotta principalmente sulla base dei dati storici di perdita operativa autonomamente rilevati. In alcuni casi viene effettuata una valutazione del grado di rischio attuale e prospettico, anche alla luce di eventi che ancora non si sono tradotti in perdite operative. Risposte Aperte emerge che in un caso nel Compliance Risk Assessment gli valutazione del grado di rischio attuale e prospettico, anche alla luce di eventi che ancora non si sono tradotti in perdite operative (es. ispezioni esterne delle Autorità Tributarie che potrebbero comportare sanzioni). Per quanto riguarda le perdite effettive, in alcune esperienze delle valutazioni espresse dagli specialisti in analisi di scenario (tramite questionari). Per classi dimensionali minori, la valutazione è prevalentemente condotta sulla base dei reclami e dei rilievi ispettivi. Tabella 7: La misurazione/valutazione è condotto sulla base di... a) Dati relativi ad incidenti di Compliance autonomamente rilevati N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale No 20% 24% 43% 30% Si 80% 76% 57% 70% b) Management N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale No 40% 52% 79% 60% Si 60% 48% 21% 40% c) Analisi di scenario mediante valutazioni fornite da esperti N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale No 40% 81% 93% 80% Si 60% 19% 7% 20% La valutazione ed il monitoraggio del rischio reputazionale [G] per il Processo ICAAP [G] vengono effettuati dal Risk Management per la quasi totalità delle banche della classe 1, mentre nelle banche delle classi 2 e 3 tale attività viene effettuata da quasi la metà delle banche con il coinvolgimento della Funzione Compliance di natura esclusiva o in collaborazione con altre funzioni. pag. 13

16 Tabella 8: una specifica sezione nella rendicontazione annuale ICAAP? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale No 0% 5% 21% 10% Si - Valutazione e monitoraggio fatti dal 80% 33% 36% 40% RM Si, Valutazione e Monitoraggio fatta da 0% 5% 0% 3% Internal Audit Si - Valutazione e monitoraggio demandati ad altre funzioni 0% 5% 0% 3% Si - Redatta da FC 20% 29% 21% 25% Si - Redatta da FC in coll. Con altre funzioni 0% 24% 21% 20% Tabella 9: Che ruolo ha la FC con riferimento alle verifiche sul processo di determinazione della posizione patrimoniale complessiva sia lato determinazione elementi patrimoniali che corretta quantificazione delle attività di rischio ponderate? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale Svolta verifica straordinaria 40% 29% 29% 30% Continuato a svolgere tale funzione 0% 0% 21% 8% Non è coinvolta in quanto l'attività è in capo ad altri 40% 62% 29% 48% Segue solo una parte 20% 0% 0% 3% Altro 0% 10% 21% 13% Per i rischi di secondo pilastro diversi da quello reputazionale, presidiato dalla Compliance anche per supportare le unità di business a fronte di particolari e/o nuove operazioni commerciali, le banche si affidano in prevalenza al Risk Management. La conformità delle fasi del complessivo. Tabella 10: La FC verifica la conformità delle fasi del complessivo processo ICAAP? pag. 14

17 N Rispondenti: 40 Totale Si, insieme all'audit 23% Si, solo FC 5% No 63% Si, insieme ad altre funzioni 10% Si evince che solo in due banche la FC verifica da sola la conformità delle fasi del complessivo processo ICAAP, funzioni. Tabella 11: La predisposizione di policy di prevenzione e mitigazione degli eventi connessi al rischio reputazionale sono oggetto di una specifica sezione nella rendicontazione annuale ICAAP? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale No 20% 43% 43% 40% Si - Policy redatta dal RM Si, Policy redatta da Internal Audit Si - Policy redatta da altre funzioni Si - Policy redatta da FC Si - Policy redatta da FC in coll. Con altre funzioni 60% 24% 14% 25% 0% 0% 7% 3% 0% 0% 7% 3% 0% 24% 14% 18% 20% 10% 14% 13% Prevale circoscrivere i danni reputazionali indotti da violazioni normative, predisponendo presidi atti a contenere il fenomeno che sono descritti nella rendicontazione annuale ICAAP. Le FC delle banche di maggiore dimensione hanno risposto di utilizzare i dati di perdita degli eventi di rischio operativo (LDC) per individuare eventuali situazioni in cui tali eventi si possano trasformare in rischi reputazionali. Passando al rischio reputazionale [G] er la sua gestione vengono presi in considerazione anche il monitoraggio dei reclami e dei livelli di servizio, dei media e della customer satisfaction. Per la gestione del rischio reputazionale non viene costituito un apposito team, ma in genere è il comitato rischi che si attiva, pre-crisi, al manifestarsi di tale rischio e post- crisi secondo un piano definito. pag. 15

18 Tabella 12: La FC rappresenta un elemento di aggregazione di tutte le competenze interfunzionali necessarie per gestire il Rischio Reputazionale? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si 0% 38% 46% 36% No, il rischio reputazionale non è ancora oggetto di 60% 52% 38% 49% attività specifiche e coordinate No, la funzione che svolge tale ruolo è 40% 10% 15% 15% un'altra Non risponde 0% 0% 8% 3% Relativamente alla Formazione, la Funzione Compliance verifica il piano su materie rientranti nel proprio perimetro. La media delle giornate/anno di formazione per addetto assegnato alla Funzione Compliance risulta globalmente pari a 4,9, con una punta di 7,2 per la Classe 3 (condizionata da un valore massimo di 20). Tabella 13: Numero giorni di formazione specifica annuali per addetto per il personale della Funzione Compliance N Rispondenti: 39 N Giorni Classe 1 Classe 2 Classe 3 Media N Giorni in media 4 4,1 7,2 4,9 N Giorni max N Giorni min 1 1,5 2 1 pag. 16

19 La formazione degli addetti alla FC si basa prevalentemente su analisi di normative specifiche e sulle metodologie di analisi del rischio di Compliance. Tabella 14: Materie sulle quali viene effettuata la formazione specifica per la FC N Rispondenti: 33 (Possibile risposta multipla Classe 1 Classe 2 Classe 3 Totale Organizzazione della funzione 20% 26% 67% 36% Project Management 20% 11% 11% 12% Risk Management 20% 11% 0% 9% Metodologia di analisi del rischio di 60% 47% 78% 58% compliance Implicazioni normative 60% 37% 44% 42% sull'organizzazione Analisi normative specifiche 100% 95% 89% 94% Altro 20% 11% 0% 9% Indagando le esigenze di ulteriori approfondimenti formativi specifici sono stati citati dai rispondenti le metodologie di analisi del rischio di Compliance, in materia di antiriciclaggio e servizi di investimento, di governo societario, sistemi di remunerazione, credito al consumo, trasparenza, usura, controlli a distanza [G]. pag. 17

20 Area B.: Attività specifiche della Funzione Compliance Nel processo di messa a punto del Sistema incentivante [G] della banca, la Funzione Compliance di tutte le banche che hanno partecipato alla survey dichiara di effettuare una verifica di conformità. In genere le banche dichiarano che per i compensi variabili basati su risultati economici o su strumenti finanziari la Funzione Compliance di ponderazione del rischio e di meccanismi atti ad assicurare risultati duraturi. Alla domanda se la Funzione verifichi che i parametri utilizzati contengano anche criteri qualitativi di valutazione, come ad esempio la customer satisfaction ed rispetto del codice etico [G], la percentuale dei rispondenti positivamente sul totale di 39 banche è stata del 54%. Tra i parametri citati nelle risposte libere figurano anche la Tabella 15: Come verifica la FC che gli obiettivi di budget utilizzati per parametrare la parte variabile della remunerazione non conducano a comportamenti del personale contrastanti con gli interessi della clientela o che rappresenterebbero un rischio per la banca? N Rispondenti: 37 Classe 1 Classe 2 Classe 3 Totale La FC effettua una verifica autonoma 20% 48% 36% 41% La verifica viene effettuata in collaborazione con le Risorse Umane e/o il CdG La verifica viene effettuata unicamente da Risorse Umane e/o CdG La verifica viene effettuata in collaborazione con il Risk Management La verifica viene effettuata unicamente dal Risk Management 80% 29% 27% 35% 0% 24% 36% 24% 0% 0% 0% 0% 0% 0% 0% 0% pag. 18

21 Tabella 16: Per le funzioni di controllo e quindi anche per la FC vi sono preclusioni o limitazioni N Rispondenti: 38 Classe 1 Classe 2 Classe 3 Totale No 20,00% 4,76% 16,67% 10,53% Si (specificare) 80,00% 95,24% 83,33% 89,47% Riguardo al sistema incentivante [G] per la Funzione Compliance, % delle banche esistono azionari o bonus collegati al raggiungimento di risultati aziendali per le funzioni di controllo e quindi anche per la Compliance. Sono previste altre forme di incentivazione n prevedono incentivi. I meccanismi di incentivazione delle banche sono quindi conformi alle (vedi nota numero 1). La survey ha preso in esame anche il posizionamento della Funzione Antiriciclaggio, che è risultata essere in prevalenza una funzione interna, incardinata nella Funzione Compliance (66,7%). Si noti che nessuna banca ha incardinato la funzione nel Risk Management, sebbene questa sia Si rileva che, sia quando la funzione antiriciclaggio è autonoma, sia quando è incardinata in antiriciclaggio. Con funzione incardinata nella Compliance, nella quasi totalità delle banche il Responsabile di Compliance è anche Responsabile di Antiriciclaggio, mentre non sempre il Delegato aziendale [G] Antiriciclaggio coincide con il Responsabile Antiriciclaggio. I flussi informativi scambiati fra Funzione Compliance e Funzione Antiriciclaggio sono in genere relativi agli esiti delle reciproche attività di controllo e dei processi interessati dal rischio di riciclaggio. Tali flussi vengono scambiati Tabella 17: Se la funzione Antiriciclaggio è incardinata nella FC il responsabile Antiriciclaggio e il responsabile Compliance sono il medesimo soggetto? N Rispondenti: 26 Classe 1 Classe 2 Classe 3 Totale Si 33% 77% 90% 77% No, la responsabilità ad un altro soggetto, che risponde gerarchicamente al Responsabile Compliance 67% 23% 10% 23% pag. 19

22 Tabella 18: Il Responsabile Antiriciclaggio è anche Delegato Aziendale per la segnalazione delle operazioni sospette? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si 60% 43% 54% 49% No, Il Delegato Aziendale per le operazioni sospette è altra figura all'interno della Funzione Antiriciclaggio 40% 52% 15% 38% Non è stata attribuita la delega 0% 5% 31% 13% Quando la funzione antiriciclaggio è autonoma, la Funzione Compliance svolge in genere attività di controllo normativo ed attività di supervisione sulla conformità dei processi operativi interni. Si è affrontata anche la tematica dei controlli su servizi di investimento. Relativamente alla profilazione della clientela, valutazione di appropriatezza e di adeguatezza, i Internal Audit per conto della Compliance, ma in prevalenza vengono eseguiti controlli a distanza [G]. La Funzione Compliance nelle banche di classe 1 non esegue sostanzialmente controlli in loco bensì prevalentemente controlli a distanza (100%), mentre rispetto alle due altre categorie, le banche di classe 3 effettuano maggiori controlli in loco. Questo è spiegabile soprattutto in banche stand alone [G], dove il controllo in loco in Direzione Generale e su poche filiali è facilitato, proprio per la loro dimensione ridotta. Sono in generale presenti procedure informatiche che permettono estrazioni di dati anche per verifiche a campione. Tabella 19: delle procedure aziendali in un' ottica di prevenzione e controllo dei rischi di non conformità alle norme poste a tutela della clientela in tema di servizi di investimento, distribuzione di prodotti fin come effettua controlli di conformità inerenti le diverse procedure? a) Profilazione della clientela - Modalità di effettuazione controlli di conformità N Rispondenti: 39 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Controlli in loco della FC 0% 24% 38% 26% Controlli in loco effettuati da altre funzione per conto della FC 60% 57% 23% 46% Controlli a distanza 100% 67% 77% 74% Altro 40% 24% 38% 31% pag. 20

23 b) Valutazione di appropriatezza - Modalità di effettuazione controlli di conformità N Rispondenti: 39 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Controlli in loco della FC 0% 19% 31% 21% Controlli in loco effettuati da altre funzione per conto della FC 60% 48% 38% 46% Controlli a distanza 80% 67% 62% 67% Altro 40% 29% 38% 33% c) Valutazione di adeguatezza - Modalità di effettuazione controlli di conformità N Rispondenti: 39 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Controlli in loco della FC 0% 19% 31% 21% Controlli in loco effettuati da altre funzione per conto della FC 60% 48% 31% 44% Controlli a distanza 100% 67% 54% 67% Altro 40% 29% 38% 33% Nella verifica del corretto processo di predisposizione del budget investimento, la Funzione Compliance esegue sia controlli in loco che controlli a distanza. In generale vengono eseguiti controlli ex-ante dei criteri di definizione del budget. Sulla Conflict Policy la Funzione Compliance nelle banche di classe 1 esegue in prevalenza controlli a distanza, mentre le banche di classe 2 e 3 eseguono sia controlli in loco che controlli a distanza, anche tramite procedur Alla domanda se la Funzione Compliance verifichi la ricostruibilità delle metodologie di pricing, le banche hanno risposto affermativamente. Riguardo al market abuse, la Funzione Compliance procedure atte a prevenire gli abusi di mercato. Il monitoraggio quotidiano degli ordini di compravendita viene effettuato in prevalenza da altre funzioni, quali ad esempio la funzione Finanza. In genere (72% dei casi) non è stato costituito un apposito comitato di market abuse e le operazioni sospette vengono segnalate al Comitato rischi. Nei casi in cui neppure tale comitato è stato costituito, o è esistente ma non decide, le operazioni sospette sono segnalate al Responsabile delle segnalazioni sospette, oppure al Compliance Officer. pag. 21

24 Tabella 20: Riguardo alla tematica di abusi di mercato il monitoraggio quotidiano degli ordini di compravendita impartiti dalla clientela viene svolto dalla FC? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si 40% 43% 23% 36% L'attività viene svolta da altra funzione 60% 57% 77% 64% Si è affrontata la tematica del contante. Come riportato in Tabella 21, nella metà circa dei rispondenti la verifica del processo di esternalizzazione Ulteriori dati non riportati in tabella riportano che la parte della banca e di personale esperto è effettuata da poco meno della metà dei classe 2). Tabella 21: reputazionali connessi alla fornitura di un servizio non adeguato? (es. erogazione alla clientela di banconote false o non idonee alla circolazione) N Rispondenti: 30 Classe 1 Classe 2 Classe 3 Totale Si 60% 39% 43% 43% No, la verifica non è ancora effettuata No, la verifica è effettuata da altra funzione (specificare) 0% 11% 14% 10% 40% 50% 43% 47% Audit, redige la relazione richiesta dalla normativa. Tabella 22: tenere a disposizione per i controlli di vigilanza? N Rispondenti: 30 Classe 1 Classe 2 Classe 3 Totale Si 60% 56% 57% 57% No, la relazione è stata redatta solo Area C.: Strumenti adottati dalla Funzione Compliance 0% 6% 14% 7% No, la relazione non è ancora redatta 40% 39% 29% 37% pag. 22

25 In generale i controlli di conformità a distanza vengono implementati soprattutto sui seguenti ambiti normativi: Servizi di investimento e MIFID, Credito al consumo, Antiriciclaggio e antiterrorismo, Servizi di pagamento, Abusi di Mercato, C Interesse, Antiusura, Trasparenza, Parti correlate e soggetti collegati, Politiche commerciali. Tali controlli a distanza rappresentano alternativa ai controlli in loco. Tabella 23: Ambiti normativi nei quali sono stati implementati i controlli a distanza N Rispondenti: 39 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Serv Investimento MiFID 100% 57% 62% 64% Antiriciclaggio e antiterrorismo 80% 38% 54% 49% Abusi mercato, conflitti interesse, operaz. Pers. 100% 38% 31% 44% Trasparenza 60% 33% 38% 38% Monitoraggio reclami 100% 33% 23% 38% Antiusura 40% 24% 15% 23% Credito al consumo 20% 14% 23% 18% Serv Pagamento 40% 14% 8% 15% Intermediaz. Assicurativa 60% 10% 8% 15% Parti correlate, soggetti collegati 20% 14% 15% 15% Politiche commerciali 60% 14% 0% 15% Resp. Amm.va enti (231/2001) 20% 10% 15% 13% Privacy 20% 10% 15% 13% Disciplina mercati 0% 14% 8% 10% Politiche remuneraz., Sistema incentivante 20% 5% 15% 10% Processo ICAAP 0% 10% 15% 10% Codice etico aziendale 0% 5% 23% 10% Rapporti dormienti 0% 5% 15% 8% Adempimenti obblighi informativi CONSOB 20% 5% 8% 8% Salute e sicurezza lavoro 20% 5% 8% 8% Patti Chiari 40% 5% 0% 8% Disciplina finanz impr. 0% 5% 8% 5% Normativa antitrust 0% 5% 8% 5% Altro 0% 0% 15% 5% Risoluz. Stragiudiziale controversie 20% 0% 0% 3% Disciplina emittenti 0% 5% 0% 3% Previdenza complementare 0% 0% 8% 3% Business continuity 0% 0% 8% 3% Requisiti onorabilità e professionalità amministratori 0% 0% 8% 3% Diritti azionisti 0% 0% 0% 0% pag. 23

26 Tabella 24: Se almeno un'area è stata indicata come oggetto di controlli di conformità a distanza, specificare se questi rappresentano una effettiva alternativa ai controlli in loco N Rispondenti: 29 Classe 1 Classe 2 Classe 3 Totale Si, almeno per alcune aree indicate sopra la FC esegue sostanzialmente solo controlli di 60% 50% 50% 52% conformità a distanza No, la FC esegue sempre anche controlli in loco 0% 7% 20% 10% di esegue anche controlli in loco per suo conto 20% 29% 30% 28% Altro 20% 14% 0% 10% controlli di conformità a distanza, un terzo circa delle banche indica una delle opzioni previste dalla domanda ossia che i controlli a distanza sono in corso di realizzaz significativa una risposta di una banca di classe 1, che li definisce Per altre banche (classe 2 e 3) controlli di conformità a distanza rappresenta un approccio consolidato limitatamente a quelli sui servizi di investimento. Accordi di servizio [G] fra Funzione di Compliance ed altre funzioni di controllo, accordi prattutto per servizi di investimento e MIFID. Tabella 25: Sono stati stipulati accordi fra FC e Internal Audit per attività di controllo di conformità su aspetti rilevanti ed aree di vulnerabilità al rischio di Compliance? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si 20% 48% 54% 46% No 80% 52% 46% 54% Tabella 26: N Rispondenti: 13 Su quali aree sono stati attivati gli AdS tra Compliance e Internal Audit? (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Serv Investimento MiFID 100% 86% 40% 69% Antiriciclaggio e antiterrorismo 0% 29% 0% 15% Trasparenza 0% 14% 0% 8% Abusi mercato, conflitti interesse, operaz. Pers. 0% 14% 0% 8% Disciplina mercati 0% 14% 0% 8% Monitoraggio reclami 0% 14% 0% 8% Disciplina emittenti 0% 14% 0% 8% Intermediaz. Assicurativa 100% 0% 0% 8% Processo ICAAP 0% 14% 0% 8% Altro 0% 0% 60% 23% pag. 24

27 Emerge che nella metà dei casi è la funzione Compliance ad "imporre" la proprie check list e le proprie metodologie di verifica, con punte del 100% in banche della classe 1. Tabella 27: Nella sua banca/gruppo è stato attivato (al 2011) un sistema di WB? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si 80% 38% 31% 41% No, ma sta per essere attivato 0% 0% 0% 0% No, non sarà attivato nel medio periodo 20% 62% 69% 59% Si è affrontata anche una tematica nuova per il sistema bancario italiano, il Whistle Blowing [G]. Il 40% delle banche intervistate, infatti, dichiara di essere già in possesso di elementi di tale sistema, sebbene dalle risposte esaminate si evince che pochi sono i sistemi di whistle blowing effettivamente operativi. Il 59% delle banche dichiara infatti si ritenga che il sistema potrebbe essere utile. banche rispondenti, il sistema da preferire dovrebbe prevedere: segnalazioni potenzialmente effettuabili da tutti i dipendenti, solo su determinati temi, solo in forma scritta, corredate dove possibile da documentazioni (mentre le risposte sono più differenziate con riferimento. Tabella 28: aziendale di whistle blowing (WB)? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si, ma la cultura italiana nelle aziende ancora non lo permette 20% 19% 31% 23% Si, ma con molteplici cautele 60% 71% 62% 67% No (specificare perché) 20% 10% 8% 10% pag. 25

28 Tabella 29: Tra i diversi modelli di whistle blowing quale meglio si adatterebbe alla sua banca/gruppo o è già stato adottato? N Rispondenti: 39 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Segnalazioni potenzialmente effettuabili da tutti i dipendenti 80% 76% 54% 69% Segnalazioni potenzialmente effettuabili solo da alcuni dipendenti 0% 5% 0% 3% Segnalazioni potenzialmente effettuabili su qualsivoglia questione 20% 14% 0% 10% Segnalazioni potenzialmente effettuabili solo su certi temi stabiliti 20% 43% 46% 41% Solo segnalazioni non anonime 80% 29% 15% 31% Solo segnalazioni anonime 0% 19% 23% 18% Sia anonime che non 20% 33% 23% 28% Solo scritte 100% 38% 38% 46% Sia scritte che verbali 0% 14% 0% 8% Solo con documentazione a supporto se esistente 20% 14% 23% 18% Con penali severe per segnalazioni errate 20% 5% 15% 10% Con incentivi rilevanti per segnalazioni corrette e proporzionali al danno evitato alla banca 0% 5% 0% 3% Alla domanda se la Funzione Compliance effettui i Compliance test [G] per verificare che i presidi di conformità implementati mantengano nel tempo la loro efficacia ai fini della mitigazione del rischio di Compliance, il 40% delle banche rispondenti ha risposto affermativamente, in prevalenza sui seguenti ambiti normativi: Servizi di investimento e MIFID (100%) Trasparenza (84,6%) Antiusura - antiriciclaggio e antiterrorismo (46,1%) Credito al consumo (38,5%) Monitoraggio reclami (30,8%) Intermediazione assicurativa (23,1%) Politiche di remunerazione - Processo ICAAP (15,4%) Responsabilità amministrativa degli Enti (231) (7,7%) In genere i compliance test [G] vengono effettuati quando ritenuto necessario o fino a rimozione del presidio, almeno annualmente, seguendo la metodologia di analisi della documentazione, ma anche tramite controlli a distanza, utilizzando in prevalenza la tecnica Random [G] e le anomalie rilevate vengono riportate nella reportistica periodica che la Funzione Compliance redige per gli Organi di Vertice, con frequenza solitamente trimestrale. pag. 26

29 Tabella 30: Qual è la metodologia utilizzata per eseguire i Compliance Test? N Rispondenti: 32 Classe 1 Classe 2 Classe 3 Totale Analisi della documentazione 25% 67% 50% 56% Controlli in loco 0% 22% 30% 22% Controlli a distanza 75% 11% 20% 22% Tabella 31: Qual è la tecnica utilizzata per eseguire i Compliance Test? N Rispondenti: 32 Classe 1 Classe 2 Classe 3 Totale Random [G] 50% 50% 50% 50% Totale 0% 6% 10% 6% Sistematica 50% 44% 40% 44% Passando alla sezione dedicata al Reporting, nella reportistica vengono identificate rischio di Compliance attuale e prospettico, le azioni di mitigazione e le priorità di intervento. Tabella 32: Oltre alla relazione annuale/semestrale, è stato avviato un processo sistematico di Compliance Risk Report diretto agli Organi di Vertice della banca, che illustri N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Si, viene effettuato dalla FC 100% 52% 46% 56% Si, viene effettuato dal Risk Management 0% 5% 0% 3% No 0% 43% 54% 41% Tabella 33: si identificano: pag. 27

30 N Rispondenti: 23 (possibile risposta multipla) Classe 1 Classe 2 Classe 3 Totale Esposizione del rischio di conformità attuale/prospettico 100% 67% 67% 74% Ranking Aree Normative soggette a tale rischio 60% 67% 50% 61% Principali vulnerabilità delle BU o processi analizzati 80% 42% 17% 43% Azioni di mitigazione e priorità di intervento 100% 92% 83% 91% Stato avanzamento lavori 80% 83% 83% 83% Esposizione ai rischi di Compliance e scostamenti rispetto alle politiche aziendali Altro 20% 42% 17% 30% 0% 8% 0% 4% - Glossario Termine ABICS Accordi di Servizio (ADS) Autoregolamentazione Benchmark Check List Classificazione del rischio Definizione ABI Compliance System Servizi per le attività di monitoraggio normativo della Compliance. Per Accordo di Servizio si intende un testo che sebbene ai soli fini interni impegna formalmente a) la funzione aziendale erogatrice del servizio nei confronti della funzione fruitrice e b) entrambe le funzioni rispetto ai possono essere inseriti Services Level Agreement (Sla) ossia metriche di servizio che devono essere rispettate medesima azienda ma anche tra funzioni appartenenti ad aziende diverse (vedi anche Bancaria n. 2/2011 Gli Accordi di Servizio tra Funzione Compliance e Internal Auditing Compliance). Circolari e disposizioni interne non legate a normativa esterna Parametro esterno utilizzato come metro di paragone per Elenco di punti da prevedere (ad esempio: la check list r conto della Compliance in altre strutture della banca) indicazione di una macro categoria (ad esempio rischio critico alto medio basso) con la quale la Funzione Compliance contrassegna pag. 28

31 Codice etico Compliance Correction Action Plan Compliance Test (CT) Controlli a distanza Crisi reputazionale Delegato aziendale per la segnalazione delle operazioni sospette Early warning (EW) Key Risk Indicators (KRI) Linee guida di compliance Manuale di Compliance Meccanismi di escalation Modello Accentrato della Funzione Compliance ogni tipo di rischio identificato Documento nel quale la banca codifica e rende noti i propri valori comportamentali risultante dai Compliance Test (q.v.) e le tempistiche di realizzazione si siano tenute nel tempo le azioni di mitigazione che, in fase ex ante, sono state giudicate adeguate, ossia efficaci l Compliance Test nelle banche italiane a cura del Gruppo di Lavoro ABI sulla Funzione Compliance) informatici tali da poter essere svolti a distanza (ad esempio: controlli sulla conformità delle filiali alle normative sulla trasparenza, effettuati dalle funzioni di controllo allocate presso la Direzione Generale). della banca e che diventa di dominio pubblico, tale da mettere in dubbio la fiducia che i clienti o altri stakeholders ripongono nella banca (vedi anche Bancaria n. 9/2010 interfunzionale per la gestione delle crisi reputazionali. Il a cura del Gruppo di Lavoro ABI sulla Funzione Compliance). Persona delegata nominativamente dal Legale Rappresentante dell. Avvertimento tempestivo. Parametri utilizzati per determinare se sussiste o meno un determinato livello di rischio e per quantificarne la gravità. Possono essere sviluppati per le diverse tipologie di rischio. Documento (non obbligatorio) che affianca il regolamento ufficiale di compliance, che declina i principi enunciati Solitamente le linee guida vengono predisposte dalla funzione centrale di compliance per i Referenti. Documento (non obbligatorio) reso disponibile a tutto il personale contenente indicazioni sui principi di Compliance, le principali tematiche e normative, nonché cenni su aspetti comportamentali da parte del personale. Procedure interne della banca che impongono di interessare una funzione gerarchicamente superiore al verificarsi di determinati eventi. In un gruppo bancario: La Funzione Compliance è collocata nella Capogruppo mentre nelle società controllate vi sono referenti di Compliance con rapporto funzionale alla Funzione Compliance della Capogruppo In una banca stand alone (q.v.): tutto il personale di Compliance è collocato nella Funzione stessa pag. 29