Resoconto degli interventi Sessione Plenaria III 1
Sessione plenaria III Come cambia il perimetro della Compliance. Le modifiche del quadro normativo 10 nov. 2011 ore 16.00 17.45 Chairman: Laura Zaccaria, Responsabile Direzione Norme e Tributi, ABI Interventi: Il perimetro della Funzione Compliance: criteri di definizione e il coinvolgimento in materie non relative alla clientela, Crescenzo Limongelli, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena I servizi di investimento: linee guida per la Funzione di Compliance, Paola Sassi, vicepresidente AICOM Associazione Italiana Compliance, Responsabile Compliance, BNL BC e gruppo BNL La gestione del rischio di compliance alle norme antiriciclaggio: cosa cambia con la nuova Funzione Antiriciclaggio. Il caso delle BCC, Pierluigi Pluviano, Director, Nexen Business Consultants, Nicolò Nociforo, Responsabile Consulenza Normativa e Compliance, Federazione Toscana delle BCC La gestione delle norme Consob sulle parti correlate e delle nuove disposizioni Banca d Italia sui soggetti collegati: il tema del controllo continuativo, Fabio Civale, Studio Legale Zitiello & Associati La gestione degli adempimenti in materia di privacy: sistemi di controllo e ruolo della Compliance alla luce delle ultime novità normative, Giovanni Guerra, Avvocato, Studio Legale Guerra Il perimetro della Funzione Compliance: criteri di definizione e il coinvolgimento in materie non relative alla clientela, Crescenzo Limongelli, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena I temi affrontati da Limongelli sono stati: Quadro normativo di riferimento Funzione Compliance Modello BMPS Riflessi sul modello BMPS in relazione agli interventi della Vigilanza e all esperienza maturata Per quanto riguarda un modello di Compliance efficace ed efficiente, Limongelli ha ricordato che la Funzione Compliance (FC), lungi dall essere soltanto un centro di costo, deve essere considerata come produttiva di valore per l azienda, posto che il rispetto delle norme e degli obblighi di informativa e trasparenza aumentano il buon nome della banca presso la clientela e, dunque, per tale via, la sua redditività. Per quanto riguarda il perimetro normativo della Compliance, il Gruppo Montepaschi considera ad impatto rilevante le seguenti materie: Trasparenza nei confronti dei clienti Gestione dei conflitti di interesse Disciplina a tutela dei consumatori Servizi di Investimento Antiriciclaggio Per le materie al di fuori del perimetro di riferimento, definite a impatto ordinario, la responsabilità di presidio è assegnata in maniera diretta e univoca alle funzioni aziendali competenti sulla base della regolamentazione interna e delle specifiche direttive. La mission della Funzione Compliance è individuare, mitigare e monitorare il compliance risk inteso come rischio di non conformità a leggi, regolamenti, codici di autodisciplina, tutelando, altresì, la reputazione della Banca e la qualità dei servizi erogati alla clientela e assolvendo ai compiti attribuiti alla funzione antiriciclaggio. Le principali responsabilità della Funzione sono: 1) Compliance 2) Customer Care 3) Antiriciclaggio 2
L attuale modello prevede la seguente attribuzione di responsabilità in tema di conformità alla normativa: Funzione Compliance sono assegnati compiti di governo del processo di compliance, anche mediante il coordinamento e l indirizzo delle omologhe funzioni istituite presso le società controllate e la rete estera, di presidio sul perimetro normativo puntualmente identificato (le materie ad impatto rilevante), di valutazione dello stato di conformità e di consulenza e assistenza alle Organi di vertice. Funzioni specialistiche, nell ambito della materie ordinarie, presidiano tematiche caratterizzate da particolare valenza specialistica in termini di complessità ed articolazione dei processi e da competenze tecnico professionali specifiche. I servizi di investimento: linee guida per la Funzione di Compliance, Paola Sassi, vicepresidente AICOM Associazione Italiana Compliance, Responsabile Compliance, BNL BC e gruppo BNL Paola Sassi ha strutturato il suo intervento in due parti: 1) Obiettivi e struttura del documento 2) Utilizzo delle Linee Guida : un possibile approccio Per quanto riguarda l obiettivo e l approccio progettuale, la dottoressa Sassi ha riepilogato le finalità operative delle linee guida: Formalizzare un quadro di riferimento per l implementazione di un corretto processo di controllo di secondo livello in materia di servizi e di attività di investimento Consolidare le attuali prassi operative per la valutazione dei rischi di non conformità e le verifiche della funzione compliance Fornire un framework metodologico a supporto della predisposizione di strumenti e flussi informativi per l attività di controllo della funzione compliance Nello specifico, le linee guida: Sono l output di un gruppo di lavoro associativo le cui posizioni sono frutto delle esperienze dei singoli partecipanti e non espressione dei singoli intermediari rappresentati Definiscono lo schema logico di sintesi e in grado di essere declinato sulla base delle peculiarità di business e dimensionali dei singoli intermediari secondo il principio di proporzionalità Nascono anche dal confronto e allineamento con ASSIREVI per condivisione dell impostazione e dei contenuti Hanno permesso un confronto con Consob per una corretta definizione dei contenuti e per un adeguata impostazione metodologica ed operativa Le linee guida si articolano in tre sezioni 1. Premessa Descrizione della struttura del documento, degli ambiti di riferimento, della metodologia adottata richiamando una possibile applicazione pratica delle linee guida 2. Diagnostici dei rischi di non conformità Definizione del processo di compliance risk assessment in relazione alle singole aree tematiche riconducibili ai servizi ed attività di investimento 3. Schede di controllo Individuazione, per area tematica e singolo requisito normativo, di singole schede di dettaglio contenenti la descrizione delle verifiche in capo alla Funzione di Conformità. La scheda di controllo rappresenta lo strumento per mezzo del quale si esplica l attività di presidio sui servizi di investimento con riferimento a ciascun area tematica indicata nel diagnostico. La dottoressa Sassi è poi passata a un possibile approccio di utilizzo delle Linee Guida. Valutazione del rischio di non conformità per ciascun requisito normativo/presidio organizzativo target: rischio inerente: valutazione impatto potenziale della mancata conformità sulla base del livello di copertura dei presidi organizzativi e procedurali esistenti rischio residuo: valutazione tenuto conto dell esistenza e dell efficacia dei controlli di primo livello e/o altri fattori di mitigazione 3
Monitoraggio Svolgimento nel continuo dei singoli controlli di conformità previsti dalle schede dedicate I controlli svolti sono rappresentati da monitoraggi a distanza o da verifiche in loco Per l espletamento delle verifiche in loco (presso strutture di rete o anche su singoli processi di direzione centrale) la Compliance può avvalersi, sulla base di specifici accordi di servizio, di risorse e funzionalità dell Internal Audit Valutazione di sintesi e Action Plan Assegnazione di un giudizio finale al livello di rischio di non conformità Definizione e programmazione degli interventi correttivi necessari alla riduzione dell esposizione al rischio di non conformità Predisposizione del reporting periodico (Compliance Report) dove sono riepilogati gli esiti del complessivo processo di compliance La gestione del rischio di compliance alle norme antiriciclaggio: cosa cambia con la nuova Funzione Antiriciclaggio. Il caso delle BCC, Pierluigi Pluviano, Director, Nexen Business Consultants, Nicolò Nociforo, Responsabile Consulenza Normativa e Compliance, Federazione Toscana delle BCC Nella prima parte di quest intervento ha parlato Pierluigi Pluviano, Director, Nexen Business Consultants, facendo una dotta sintesi dei temi rilevanti della Compliance. Uno dei temi di maggiore dibattito in questi anni è stato quello del Perimetro della funzione, che ha lasciat comunque la questione ancora irrisolta. Conformità o conformismo? Si è poi chiesto Pluviano. Il dubbio sorge osservando quanto si cerchi di avere indicazioni dai Regulator, si analizzino le parole dei Provvedimenti e si guardi all esterno dell intermediario, rispetto a un attenta analisi dei propri rischi, delle relative priorità e della sensibilità dei Vertici aziendali. Passando al tema del rapporto tra funzione Antiriciclaggio e funzione Compliance, Pluviano osserva che il provvedimento in materia di Antiriciclaggio ha avuto un merito fondamentale: quello di chiarire che il percorso non è univocamente definito in termini di progressivo presidio di tutte le norme, ma che i presidi possono essere diversi e devono esserlo quando il tema ha particolare rilevanza per lo/gli intermediario/i. Nelle sue conclusioni Pluviano ha osservato che: La disciplina antiriciclaggio dovrebbe uscire dal perimetro della funzione di Conformità. La funzione Antiriciclaggio deve essere organizzata in modo simmetrico a quella Compliance, avendo di fatto responsabilità e compiti del tutto analoghi. Dovrebbe essere garantita omogeneità nella definizione dei rischi e nell impostazione e realizzazione dei Risk Assessment, nonché nel reporting al Vertice aziendale. La costituzione di una unità indipendente appare una soluzione riservata a intermediari di grande dimensioni o una delle possibili soluzioni all interno delle complesse articolazioni previste all interno dei Gruppi, tra Capogruppo e Controllate. L incardinamento della funzione nell ambito della Compliance favorisce omogeneità di indirizzo, coerenza metodologica (ad esempio nella definizione dei Compliance Test), nonché una più agevole predisposizione degli Accordi di servizio con la funzione di Internal Auditing. Risulta nei fatti la soluzione di continuità che garantisce efficienza e flessibilità delle risorse dedicate alla conformità, soprattutto nelle realtà di piccole dimensioni, dove si pone eventualmente la questione dell esternalizzazione. La gestione delle norme Consob sulle parti correlate e delle nuove disposizioni Banca d Italia sui soggetti collegati: il tema del controllo continuativo, Fabio Civale, Studio Legale Zitiello & Associati L avvocato Civale ha articolato il suo intervento in tre parti: 1. Le procedure e i controlli in materia di operazioni con parti correlate: i compiti della compliance 4
2. Il ruolo della compliance e le verifiche nel continuo in materia di attività di rischio e conflitti di interesse nei confronti dei soggetti collegati 3. L esigenza ed i limiti di un approccio unitario alle due discipline emanate da Consob e Banca d Italia. Nella prima parte dell intervento Civale ha analizzato e commentato il Regolamento Consob n. 17221 del 12 marzo 2010. Tale regolamento, successivamente modificato in data 23 giugno 2010, ha come ambito di applicazione le società italiane con azioni quotate nei mercati regolamentati italiani o di altri paesi comunitari e con azioni diffuse tra il pubblico in maniera rilevante. Il Regolamento Consob n. 17221 mira ad assicurare la trasparenza e la correttezza sostanziale e procedurale delle operazioni con parti correlate. Tra gli aspetti di maggiore rilevanza ai fini della verifica della corretta gestione delle operazioni con parti correlate, occorre considerare: l individuazione e il monitoraggio continuo del perimetro delle parti correlate e delle operazioni con parti correlate l individuazione delle operazioni di maggiore rilevanza l accertamento delle operazioni ordinarie e delle condizioni equivalenti a quelle di mercato o standard l individuazione dei casi di esclusione e di esenzione ai quale la società intende fare ricorso la verifica dei requisiti degli amministratori indipendenti la verifica delle procedure istruttorie, deliberative e di controllo in materia di operazioni con parti correlate la verifica dei flussi informativi nei confronti degli amministratori indipendenti che esprimono pareri sulle operazioni con parti correlate, degli Organi di Amministrazione e Controllo prima della delibera e dopo l esecuzione della stessa la verifica della corretta informazione al pubblico sulle operazioni con parti correlate di maggiore rilevanza. Nella seconda parte del suo intervento, Civale ha affrontato il tema delle attività di rischio e i conflitti di interesse nelle banche. Su questo tema occorre tener conto di due documenti di consultazione da parte di Banca d Italia nel maggio 2010 e nel giugno 2011. Tale disciplina si applica a tutte le banche e mira a presidiare il rischio che la vicinanza di taluni soggetti ai centri decisionali della banca possa compromettere l oggettività e l imparzialità delle decisioni relative alla concessione di finanziamenti esponendo quindi la stessa banca a rischi non adeguatamente misurati e presidiati. In quest ambito, la funzione di conformità verifica l esistenza e affidabilità, nel continuo, di procedure e sistemi idonei ad assicurare il rispetto di tutti gli obblighi normativi e di quelli stabiliti dalla regolamentazione interna. La banca o, nel caso di un gruppo bancario, la capogruppo è tenuta ad approvare e rivedere periodicamente almeno con cadenza triennale (nella prima bozza di consultazione era prevista una periodicità annuale) le politiche interne in materia di controlli sulle attività di rischio e conflitti di interesse nei confronti di soggetti collegati. Nella terza parte del suo intervento, Civale ha posto l esigenza e limiti di un approccio unitario per le banche soggette sia alla disciplina Consob (in materia di parti correlate) sia alla disciplina Banca d Italia (in materia di soggetti collegati) al fine di attenuare seppur con alcuni vincoli gli oneri applicativi. Entrambe le discipline adottate da Consob e Banca d Italia: fanno affidamento sul ruolo degli amministratori indipendenti ai fini dell elaborazione e approvazione delle operazioni 5
graduano le procedure in funzione della rilevanza delle operazioni riconoscono spazi di autonomia alle società e prevedono meccanismi di flessibilità. Le banche quotate o con azioni diffuse possono individuare un unica procedura valida per le operazioni (in particolare quelle di maggiore rilevanza) che ricadono nell ambito di applicazione di entrambe le normative. Tra le due discipline sono state tuttavia confermate alcune differenze per quanto concerne: perimetro dei soggetti collegati; presidi alternativi agli amministratori indipendenti; definizione di operazione ordinaria ; definizione delle operazioni di importo esiguo; effetti del parere negativo degli amministratori indipendenti per le operazioni di maggiore rilevanza (ruolo dell assemblea e dell organo di controllo); procedure nel modello dualistico; operazioni intra gruppo; limiti di spesa per i servizi resi dagli esperti indipendenti. La gestione degli adempimenti in materia di privacy: sistemi di controllo e ruolo della Compliance alla luce delle ultime novità normative, Giovanni Guerra, Avvocato, Studio Legale Guerra L avvocato Guerra ha svolto un analisi dei rischi legali in tema di privacy e ha esordito ricordando le ultime novità normative per la banche: D.L. 13 maggio 2011, n. 70 c.d. Decreto sviluppo, convertito in legge, con modificazioni, dalla l. 106/11 Garante Provv. generale 12 maggio 2011 Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie Gazzetta Ufficiale n. 127 del 3 giugno 2011 L. 148/2011 di conversione del D.L. 13 agosto 2011, n. 138 c.d. Manovra bis In primo luogo, ha osservato Guerra, il decreto sviluppo ha apportato delle modifiche al Codice Privacy (d.lgs.196/2003) con l art 6, comma 2, lett. a), ha modificato gli artt.: 5. Oggetto ed ambito di applicazione 13 Informativa 24 Casi nei quali può essere effettuato il trattamento senza consenso 26 Garanzie per i dati sensibili 34 Trattamenti con strumenti elettronici 130 Comunicazioni indesiderate. Inoltre il trattamento dei dati delle imprese esce dall ambito di applicazione del Codice; infatti all art.5 è stato aggiunto il seguente comma: 3 bis. Il trattamento dei dati personali relativi a persone giuridiche, imprese, enti o associazioni effettuato nell ambito di rapporti intercorrenti esclusivamente tra i medesimi soggetti per le finalità amministrativo contabili, come definite all articolo 34, comma 1 ter, non è soggetto all applicazione del presente codice. Viene infine escluso il consenso per le comunicazioni infragruppo. I principali effetti sugli adempimenti privacy sono secondo Guerra: Esclusione dell applicabilità del Codice in relazione ai rapporti intercorrenti con imprese per i dati che le riguardano (no informativa, consenso, ecc). Esclusione del consenso per la trasmissione di dati personali (non sensibili) tra società collegate o con rapporti di controllo (genericamente comunicazioni infragruppo) per finalità amministrativo contabili 6
Ulteriori cambiamenti in relazione all informativa da rendere e ai consensi da acquisire in materia di MKTG Esclusione informativa preventiva per curricula del consenso per il trattamento dei dati ivi contenuti (ove necessario), anche con riferimento ai dati sensibili. Inoltre rilevanti sono le semplificazioni delle misure di sicurezza: infatti all articolo 34, il comma 1 bis è sostituito dai seguenti: "1 bis. Per i soggetti che trattano soltanto dati personali non sensibili e che trattano come unici dati sensibili e giudiziari quelli relativi ai propri dipendenti e collaboratori, anche se extracomunitari, compresi quelli relativi al coniuge e ai parenti, la tenuta di un aggiornato documento programmatico sulla sicurezza sostituita dall obbligo di autocertificazione, resa dal titolare del trattamento, di trattare soltanto tali dati in osservanza delle misure minime di sicurezza previste dal presente codice dal disciplinare tecnico contenuto nell allegato B). Infine, Guerra ha dibattuto il recente Provvedimento del Garante del 12 maggio 2011 contenente le Prescrizioni in materia di circolazione delle informazioni in ambito bancario e di tracciamento delle operazioni bancarie. Il problema che ha voluto risolvere il Garante nasce dalle proteste di numerosi interessati che hanno dichiarato di essere venuti a conoscenza che dati personali a loro riferiti (in specie, informazioni bancarie), conservati nei database di alcune banche con le quali avevano instaurato rapporti contrattuali, erano stati oggetto di indebito accesso, verosimilmente da parte di alcuni dipendenti, i quali, successivamente, li avrebbero comunicati a terzi che li avrebbero utilizzati per scopi personali e, segnatamente, in vista di una loro produzione in giudizio (di norma, in separazioni giudiziali e procedure esecutive, in particolare, in pignoramenti presso terzi). Già oggi, nonostante l assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni bancarie con riguardo sia all'anagrafica sia al quantum della conservazione dei file di log, tutte le banche hanno ritenuto di implementare sistemi di controllo delle operazioni dispositive con finalità di tutela del patrimonio dei clienti e dell'attività bancaria, ma solo alcune di esse sono risultate in possesso di sistemi di tracciamento riguardanti anche operazioni di semplice consultazione (inquiry) dei conti correnti di altri rapporti contrattuali riferiti ai clienti (ma con tempi di conservazione troppo ristretti). Al fine di rendere il trattamento dei dati della clientela conforme alle disposizioni del Codice Privacy l autorità è intervenuta disponendo misure necessarie (prescrizioni) o opportune. Tra le prescrizioni: Designazione dell'outsourcer quale responsabile del trattamento Adozione di idonee soluzioni informatiche per il controllo dei trattamenti condotti sui singoli elementi di informazione presenti sui diversi database. Registrazione dettagliata, in un apposito log, delle informazioni riferite alle operazioni bancarie effettuate sui dati bancari, quando consistono o derivano dall'uso interattivo dei sistemi operato dagli incaricati, sempre che non si tratti di consultazioni di dati in forma aggregata non riconducibili al singolo cliente. Il Garante prescrive che il periodo di conservazione dei file di log delle operazioni di inquiry non deve essere inferiore a 24 mesi dalla data di registrazione dell'operazione. Deve essere prefigurata da parte delle banche l'attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni di inquiry. Negli strumenti di business intelligence devono confluire i log relativi a tutti gli applicativi utilizzati per gli accessi. Infine, la gestione dei dati bancari deve essere oggetto, con cadenza almeno annuale, di un'attività di controllo interno da parte dei titolari del trattamento. 7
L'attività di controllo deve essere demandata a un'unità organizzativa o, comunque,a personale diverso rispetto a quello cui è affidato il trattamento dei dati bancari dei clienti. Tra le misure opportune: Informazioni all'interessato: le banche comunicano, senza ritardo, all'interessato le operazioni di trattamento illecito effettuate sui dati personali allo stesso riferiti dagli incaricati (accesso indebito etc. Tale tempestiva informazione può consentire all'interessato l'adozione di appropriate misure e, ove possibile, una minimizzazione dei rischi connessi alla violazione della disciplina di protezione dei dati personali. Comunicazioni al Garante: le banche comunicano tempestivamente al Garante fornendo gli opportuni dettagli i casi in cui risulti accertata una violazione, accidentale o illecita, nella protezione dei dati personali, di particolare rilevanza dalle quali derivino la distruzione, la perdita, la modifica, la rivelazione non autorizzata dei dati della clientela. La particolare rilevanza dipende dalla qualità e dalla quantità di dati coinvolti e/ o dal numero di clienti interessati Commentando il provvedimento del Garante, l avvocato Guerra ha osservato che un attività di Compliance, finalizzata alla verifica dell esistenza di idonee procedure di attuazione, documentazione e controllo degli adempimenti richiesti, non è sufficiente nell ottica della protezione dei dati personali (soprattutto in ambito bancario). Infatti, le verifiche, per essere efficaci, devono essere effettuate da funzioni diverse rispetto a quelle che si occupano dei trattamenti in esame e, specialmente per quanto riguarda le verifiche informatiche, rendendosi necessarie specifiche valutazioni a livello tecnico, da funzioni dotate delle necessarie conoscenze e competenze 8