LE NUOVE REGOLE SUL SISTEMA DEI CONTROLLI INTERNI, SISTEMI INFORMATIVI E CONTINUITA OPERATIVA (Circolare n. 263 del 27 dicembre Aggiornamento)

Transcript

1 LE NUOVE REGOLE SUL SISTEMA DEI CONTROLLI INTERNI, SISTEMI INFORMATIVI E CONTINUITA OPERATIVA (Circolare n. 263 del 27 dicembre Aggiornamento) LE NOVITA PER LA FUNZIONE COMPLIANCE E LA GESTIONE E IL CONTROLLO DEL RISCHIO FISCALE MILANO 1 Ottobre

2 La funzione compliance è disciplinata nei settori bancario, finanziario e assicurativo da specifiche regolamentazioni: Regolamento congiunto Banca d Italia Consob in materia di organizzazione e controlli degli intermediari art. 6, co. 2.bis TUF (29 ottobre 2007) Regolamento ISVAP n. 20 (26 marzo 2008) Disposizioni Banca d Italia vigilanza prudenziale per le banche. Il Sistema dei controlli interni circ. n. 263/2006, 15 agg.to ( 2 luglio 2012). Il documento ha abrogato le Disposizioni di Vigilanza Banca d Italia sulla funzione di conformità (10 luglio 2007). Ulteriori principali regole emanate: Linee Guida EBA (settembre 2011) Documento ESMA (luglio 2011) Regole in fase di consultazione: LE REGOLE DELLA FUNZIONE COMPLIANCE Documento in consultazione Banca d Italia disposizioni di vigilanza per gli intermediari finanziari attuazione D.lgs. 141/2010 (gennaio 2012) 2

3 LE REGOLE DELLA FUNZIONE COMPLIANCE Nel percorso della funzione di conformità compliance la Banca d Italia ha avuto un ruolo primario e coerente con i più ampi compiti assunti dall Autorità sui temi della corporate governance e della tutela della clientela in ambito bancario LA FUNZIONE COMPLIANCE COSTITUISCE: UN TASSELLO MOLTO SIGNIFICATIVO DELLA GOVERNANCE AZIENDALE(*) UN ELEMENTO CENTRALE NELL AMBITO DELLA TRASPARENZA E DELLA TUTELA DEL CLIENTE CON RIFERIMENTO AI PRODOTTI BANCARI (*) (*) Carmelo Lattuca Capo Ispettorato Vigilanza B.I. Convegno Aicom Italia Stati Uniti Affrontare la crescita globale dei rischi di Compliance

4 Le nuove disposizioni di vigilanza prudenziale costituiscono una tappa importante del percorso avviato nel luglio 2007 con l emanazione delle disposizioni La funzione di conformità (compliance) (*) LE NOVITA DI MAGGIORE RILIEVO: INSERIMENTO ORGANICO DELLA FUNZIONE COMPLIANCE NELLE DISPOSIZIONI CHE REGOLANO LE FUNZIONI DI CONTROLLO E PIU IN GENERALE IL SISTEMA DEI CONTROLLI INTERNI ATTRIBUZIONE ALLA FUNZIONE COMPLIANCE DEL RUOLO DI PRESIEDERE ALLA GESTIONE DEL RISCHIO DI NON CONFORMITA A TUTTA L ATTIVITA AZIENDALE INSERIMENTO NEL PERIMETRO DELLA FUNZIONE DELLA NON CONFORMITA ALLE NORMATIVE DI NATURA FISCALE (*) Le disposizioni abrogate hanno costituito la cornice di riferimento della nuova normativa 4

5 FUNZIONE COMPLIANCE E CONTROLLI INTERNI LA FUNZIONE DI COMPLIANCE E ORGANICAMENTE INSERITA E DISCIPLINATA TRA LE FUNZIONI DI CONTROLLO INSIEME ALLE FUNZIONI: CONTROLLO DEI RISCHI E INTERNAL AUDIT. PER LE TRE FUNZIONI SONO DEFINITI: I REQUISITI COMUNI DI INDIPENDENZA (autorità, professionalità, risorse, competenze, riferimenti agli organi aziendali, separazione, remunerazione, unione di funzioni, esternalizzazione) LA PROGRAMMAZIONE E RENDICONTAZIONE PERIODICA DELLE ATTIVITA I REQUISITI SPECIFICI DELLE FUNZIONI DI CONTROLLO (con definizione delle responsabilità, dei rapporti tra le funzioni e la suddivisione dei ruoli) La novità è di notevole importanza in quanto non solo assicura un quadro unitario per gli operatori bancari ma perché rappresenta il risultato di scelte importanti su punti critici riguardanti la funzione di compliance (in particolare nei rapporti con altre funzioni specialistiche come ad es.: legale, fiscale, dirigente preposto, ecc.) 5

6 FUNZIONE COMPLIANCE E CONTROLLI INTERNI RAPPORTI TRA IL RESPONSABILE DELLA FUNZIONE COMPLIANCE E IL CHIEF RISK OFFICER (FIGURA DI COORDINAMENTO DI AUTONOME FUNZIONI DI CONTROLLO RISCHI) Banca d Italia ha espresso contrarietà all istituzione della figura CRO, al quale riportino gerarchicamente i responsabili delle funzioni di secondo livello, in quanto la ritiene non compatibile con l assetto del sistema dei controlli interni (*). PUNTI CRITICI DELLA FIGURA DEL CRO: CREAZIONE DI UN ULTERIORE LIVELLO TRA LE FUNZIONI DI SECONDO LIVELLO E L OFG E IL RISCHIO CHE LA DIALETTICA TRA OFG E FUNZIONI DI CONTROLLO RISULTI FILTRATO DAL NUOVO SOGGETTO (*) (*) Banca d Italia Resoconto della consultazione 6

7 FUNZIONE DI COMPLIANCE E CONTROLLI INTERNI INOLTRE LA RIUNIONE DELLA FUNZIONE DI COMPLIANCE NEL PERIMETRO DEL CRO NON RISULTA COERENTE CON I RISCHI AI QUALI LE FUNZIONI COMPLIANCE E RISK MANAGEMENT PRESIEDONO(*): Compliance Rischi qualitativi Risk management Rischi imprenditoriali e di mercato (*) Osservazioni AICOM in sede di consultazione 7

8 PRESIDIO DI CONFORMITA A TUTTE LE NORME Compliance 2007 Compliance 2013 Una gestione dinamica e consapevole del rischio di non conformità richiede l istituzione di una apposita funzione, il cui compito specifico è quello di verificare che le procedure interne siano coerenti con l obiettivo di prevenire la violazione di norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici) applicabili alla banca. La funzione di conformità alle norme presiede, secondo un approccio risk based, alla gestione del rischio di conformità con riguardo a tutta l attività aziendale, verificando che le procedure siano adeguate a prevenire tale rischio 8

9 PRESIDIO DI CONFORMITA, A TUTTE LE NORME Compliance 2007 Compliance 2013 In via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l esercizio dell attività d intermediazione, la gestione dei conflitti d interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore. Per le norme più rilevanti ai fini del rischio di non conformità quali quelle che riguardano l esercizio della attività d intermediazione, la gestione dei conflitti d interesse, la trasparenza nei confronti della clientela e, più in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano già previste forme di presidio specializzato all interno della banca, la funzione è direttamente responsabile della gestione del rischio di non conformità. 9

10 PRESIDIO DI CONFORMITA A TUTTE LE NORME Compliance 2013 GRADUALITA DEL PRESIDIO COMPLIANCE Con riferimento ad altre normative per le quali siano già previste forme specifiche di presidio specializzato (es. normativa sulla sicurezza del lavoro, in materia di trattamento dati), la banca, in base ad una valutazione dell adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformità, può graduare i compiti della compliance, che comunque è responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformità, e della individuazione delle relative procedure, e procede alla verifica dell adeguatezza delle procedure medesime a prevenire il rischio di non conformità 10

11 COMPLIANCE E NORMATIVA FISCALE La banca può adottare tale approccio anche con riferimento al presidio del rischio di non conformità alle NORMATIVE DI NATURA FISCALE (1), che richiede almeno : la definizione di procedure (2) volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale la verifica dell adeguatezza di tali procedure e della loro idoneità a realizzare effettivamente l obiettivo di prevenire il rischio di non conformità (1) Le banche devono tenere conto dei rischi derivanti dal coinvolgimento in operazioni fiscalmente irregolari poste in essere dalla clientela (2) Tali procedure possono prevedere il ricorso a figure interne alla banca esperte in materia fiscale oppure,nei casi più complessi, l acquisizione del parere delle autorità tributarie comp.ti 11

12 COMPLIANCE E NORMATIVA FISCALE LA SOLUZIONE ORGANIZZATIVA DOVRÀ PERTANTO ALMENO RIPORTARE: LA DEFINIZIONE DI PROCEDURE CHE PREVENGANO VIOLAZIONI ED ELUSIONI E ATTENUINO I RISCHI CONNESSI ALLA FATTISPECIE DI ABUSO DEL DIRITTO LA VERIFICA DELLE STESSE PROCEDURE E LA LORO IDONEITÀ RISPETTO ALLA PREVENZIONE DEL RISCHIO DI NON CONFORMITÀ 12

13 COMPLIANCE E NORMATIVA FISCALE Tale soluzione appare al momento preferibile in quanto: In strutture complesse, dove esistono pluralità di soggetti che si occupano sotto diversi ambiti della materia fiscale (ufficio fiscale, collegio sindacale, revisori, preposto al bilancio, OdV 231/2001), attenua i rischi di sovrapposizioni e di conflitti anche interpretativi tra funzioni In strutture meno complesse dimensionalmente e operativamente, attenua la criticità della funzione di conformità di non disporre di competenze specialistiche e di dover ricorrere a onerosi supporti consulenziali esterni IN OGNI CASO ALLA FUNZIONE COMPLIANCE E ASSEGNATO UN PRESIDIO CHE COMPORTA CRITICITA SUL PIANO DELLE COMPETENZE PROFESSIONALI E DELLE RISORSE DISPONIBILI 13

14 PRESIDIO COMPLIANCE: RESPONSABILITA NORME RILEVANTI (trasparenza, attività di intermediazione, disciplina a tutela del consumatore, conflitto d interessi) SENZA PRESIDIO SPECIALIZZATO RESPONSABILITA diretta diretta CON PRESIDIO SPECIALIZZATO (es.: disciplina fiscale, contabilità, ICAAP, ecc.) SPECIFICHE (es.: AML, privacy, servizi investimento ecc.) ALTRE AREE INTERVENTO (es.: progetti innovativi, consulenza al vertice, sistema premiante, formazione, IT/compliance) condivisa diretta condivisa o diretta in relazione alla singola materia 14

15 IPOTESI APPROCCIO OPERATIVO Sulla base delle nuove regole principle based su organizzazione, competenze, responsabilità delle funzioni Compliance i necessari passi organizzativi saranno: verificare il corretto collocamento gerarchico funzionale della funzione compliance evidenziando e rafforzando: ruolo, autorità e competenze definire in dettaglio le relazioni con gli Organi aziendali e le altre funzioni di controllo identificare il perimetro normativo definendo le aree/materie di dominio specialistico compliance tenendo conto del fatto che non esiste solo la Compliance bancaria (v.: servizi investimento, market abuse, Dlgs 231/2001, Dlgs 231/2007, ecc.) identificare i domini specialistici per area/materia affidati o da affidare a altre strutture/funzioni aziendali (es: ICAAP, contabilità, fiscale, sicurezza lavoro, ecc.) e i rispettivi compiti di compliance identificare i principali rischi di non conformità all interno dell azienda e le regole di pianificazione dell attività (priorità interventi, periodicità azioni, dashbord e follow up controlli, reportistica, ecc.) dashboard 15

16 R RISULTATI INDAGINI (*) ED ISPEZIONI B.I Ancora da migliorare: il riconoscimento della autorevolezza della Funzione Compliance attraverso un posizionamento organizzativo adeguato maggiore informatizzazione L esperienza maturata mostrerebbe: maturità del rapporto funzione Compliance e Business collegamento tra i valori aziendali e di compliance e tra questi e il sistema incentivante da mero consulente ad attore nelle scelte strategiche di business (Comitato Nuovi Prodotti) budget di spesa autonomo risorse dedicate e specializzate Evidenze ispezioni B.I.: incertezze su autonomia e indipendenza limitate sinergie con il risk management necessità di incrementare il non adeguato coinvolgimento nelle attività gestionali/ operative rilevanti presidio più formale che sostanziale del conflitto di interessi (*) Indagini :Aicom, SDA Bocconi, Sia; 16

17 CONCLUSIONI a La reputazione si costruisce con enorme fatica si perde molto velocemente. Lo afferma un notissimo uomo d affari, Warren Buffett, non un esponente di una istituzione pubblica E necessario per le banche conciliare business, etica e contrasto ai fenomeni illegali e la funzione Compliance rappresenta uno snodo fondamentale di questo complesso ma necessario equilibrio a tutela di azienda e dipendenti Diventa cruciale un sempre più effettivo confronto tra le Autorità e le Associazioni professionali che vivono in prima linea l urto della regolamentazione per fare in modo che ci siano regole giuste e condivise 17

18 PER UN EFFETTIVO SVILUPPO DELLA FUNZIONE COMPLIANCE E IMPRESCINDIBILE UN SOSTANZIALE COMMITMENT INTERNO (vertice e organi aziendali) AL PARI DI UN NECESSARIO COMMITMENT ESTERNO (Autorità di vigilanza, Associazioni di categoria e professionali) 18