Gazzetta n. 172 del 26 luglio 2007 (vai al sommario) BANCA D'ITALIA COMUNICATO Disposizioni di vigilanza in materia di conformita' compliance 1. Premessa. Il rispetto delle norme e la correttezza negli affari costituiscono elementi fondamentali nello svolgimento dell'attivita' bancaria, che per sua natura e' fondata sulla fiducia. L'evoluzione dei mercati finanziari, in termini di innovazione dei prodotti, di trasferimento del rischio e di proiezione internazionale, rende piu' complessi l'identificazione e il controllo dei comportamenti che possono dar luogo a violazioni di norme, di standard operativi, di principi deontologici ed etici dell'attivita' di intermediazione. Nel mutato contesto e' necessario, da un lato, promuovere una cultura aziendale improntata a principi di onesta', correttezza e rispetto non solo della lettera, ma anche dello spirito, delle norme; dall'altro, approntare specifici presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione. A tal fine, assume particolare rilievo la costituzione all'interno delle banche e dei gruppi bancari di una specifica funzione dedicata al presidio e al controllo della conformita'. Le presenti disposizioni dettano principi di carattere generale, volti a individuare le finalita' e i principali compiti della funzione di conformita', riconoscendo nel contempo alle banche piena discrezionalita' nella scelta delle soluzioni organizzative piu' idonee ed efficaci per realizzarli. Esse si applicano alle banche e ai gruppi bancari secondo il principio di proporzionalita', in coerenza quindi con le specifiche caratteristiche dimensionali e operative. La funzione di conformita' svolge un ruolo di rilievo nella creazione di valore aziendale, attraverso il rafforzamento e la preservazione del buon nome della banca e della fiducia del pubblico nella sua correttezza operativa e gestionale. Nel perseguimento di questiobiettivi, le banche sono chiamate a prestare attenzione soprattutto agli utenti dei servizi offerti, non solo attraverso la puntuale e coerente applicazione della disciplina posta a tutela della clientela, ma anche assicurando un'informazione completa che promuova la consapevole assunzione delle scelte finanziarie. Per lo svolgimento dei servizi e delle attivita' di investimento da parte delle banche, troveranno applicazione anche le disposizioni di recepimento della direttiva 2006/73/CE relative alla funzione di conformita' di cui all'art. 6 della medesima direttiva. Nelle more dell'adozione della richiamata disciplina, rilevano le disposizioni in materia di controlli interni di cui al Regolamento Intermediari, adottato dalla CONSOB con delibera n. 11522/1998. 2. Il rischio di non conformita' alle norme. Il rischio di non conformita' alle norme e' il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina). Detto rischio e' diffuso a tutti livelli dell'organizzazione aziendale, soprattutto nell'ambito delle linee operative; l'attivita' di prevenzione deve svolgersi in primo luogo dove il rischio viene generato: e' pertanto necessaria un'adeguata responsabilizzazione di tutto il personale. In via generale, le norme piu' rilevanti ai fini del rischio di non conformita' sono quelle che riguardano l'esercizio dell'attivita' di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, piu' in generale, la disciplina posta a tutela del consumatore. Un'efficace ed efficiente gestione del rischio di non conformita', oltre alla responsabilizzazione di tutti i dipendenti, richiede, tra l'altro: una chiara e formalizzata individuazione e distinzione di ruoli e responsabilita' ai diversi livelli dell'organizzazione della banca; l'istituzione di un'apposita funzione incaricata della gestione del rischio di non conformita'; la nomina di un responsabile della conformita' all'interno della banca; la predisposizione di un documento interno che indichi responsabilita', compiti, modalita' operative, flussi informativi, programmazione e risultati dell'attivita' svolta dalla funzione di conformita'. 3. Ruolo degli organi di vertice della banca. Il consiglio di amministrazione e il collegio sindacale sono responsabili della supervisione complessiva del sistema di gestione del rischio di non conformita' alle norme. Nel caso in cui le banche adottino un modello organizzativo diverso da quello tradizionale, detto compito spetta: nel modello dualistico, al consiglio di sorveglianza e al consiglio di gestione; nel modello monistico, al consiglio di amministrazione. In particolare, il consiglio di amministrazione, sentito il collegio sindacale, con apposita delibera (non delegabile) approva le politiche di gestione del rischio in questione, ivi inclusa la costituzione di una funzione di conformita' alle norme, permanente e indipendente. Per le banche che adottino il sistema di amministrazione e controllo dualistico, e' opportuno che lo statuto preveda su dette materie una delibera del consiglio di sorveglianza, su proposta del consiglio di gestione. In caso di modello monistico, la delibera deve essere approvata, oltre che dal consiglio di amministrazione nel suo complesso, anche dal comitato per il controllo sulla gestione. Almeno una volta l'anno il consiglio di amministrazione, sentito il collegio sindacale, valuta l'adeguatezza della funzione di conformita' alle norme e a tal fine puo' avvalersi di un comitato costituito al suo interno; nel modello dualistico, detta valutazione e' svolta dal consiglio di gestione e gli esiti della stessa sono comunicati al consiglio di sorveglianza, ovvero a un comitato costituito al suo interno. Gli organi delegati (o nel modello dualistico il consiglio di gestione) e il direttore generale - secondo le specifiche competenze definite in via generale con riferimento al sistema dei controlli interni - devono assicurare una efficace gestione del rischio di conformita'. A tal fine: definiscono adeguate politiche e procedure di conformita'; stabiliscono canali di comunicazione efficaci per assicurare che il personale a tutti i livelli dell'organizzazione sia a conoscenza dei presidi di conformita' relativi ai propri compiti e responsabilita'; assicurano che le politiche e le procedure vengano osservate all'interno della banca; nel caso emergano violazioni, accertano che siano apportati i rimedi necessari; delineano flussi informativi volti ad assicurare agli organi di vertice della societa' piena consapevolezza sulle modalita' di gestione del rischio di non conformita'. Inoltre, con la collaborazione della funzione di conformita', gli organi delegati (o nel modello dualistico il consiglio di gestione e il direttore generale - secondo le rispettive competenze - hanno il compito di: identificare e valutare, almeno una volta all'anno, i principali rischi di non conformita' a cui la banca e' esposta e programmare i relativi interventi di gestione. La programmazione degli interventi deve riguardare sia le eventuali carenze (di politica, procedurali, di implementazione o esecuzione) emerse nell'operativita' aziendale, sia la necessita' di affrontare eventuali nuovi rischi di non conformita' identificati a seguito della valutazione annuale del rischio; riferire di iniziativa o su richiesta, almeno una volta all'anno, al consiglio di amministrazione (o a un comitato costituito al suo interno) e al collegio sindacale ovvero al consiglio di sorveglianza (o a un comitato costituito al suo interno) sull'adeguatezza della gestione del rischio di non conformita' attuata dalla banca; fornire tempestiva informazione al consiglio di amministrazione (o a un comitato costituito al suo interno) e al collegio sindacale (o al consiglio di sorveglianza (1) o al comitato di controllo sulla gestione) su ogni violazione rilevante della conformita' alle norme (es. violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o danno di reputazione). ---- (1) Le violazioni devono essere portate a conoscenza del comitato costituito all'interno del consiglio di sorveglianza di cui sono attribuite funzioni in materia di controlli interni 4. La funzione di conformita' alle norme. Una gestione dinamica e consapevole del rischio di non conformita' richiede l'istituzione di un'apposita funzione, il cui compito specifico e' quello di verificare che le procedure interne siano coerenti con l'obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici) applicabili alla banca. Detta funzione e' parte integrante del sistema dei controlli interni delle banche (Titolo IV - Capitolo 11 - Sezione II delle istruzioni di vigilanza). I principali adempimenti che la funzione di conformita' e' chiamata a svolgere sono: l'identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali; la proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformita' identificati; la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna); la verifica dell'efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di conformita'. In relazione ai molteplici profili professionali richiesti per l'espletamento di tali adempimenti, le varie fasi in cui si articola l'attivita' della funzione di conformita' possono essere affidate a strutture organizzative diverse gia' presenti nella banca (es. legale, organizzazione, gestione del rischio operativo), purche' il processo di gestione del rischio e l'operativita' della funzione siano ricondotti ad unita' mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attivita', anche attraverso la predisposizione di un apposito programma di attivita'. La funzione di conformita' deve essere coinvolta nella valutazione ex ante della conformita' alla regolamentazione applicabile di tutti i progetti innovativi che la banca intenda intraprendere nonche' nella prevenzione e nella gestione dei conflitti di interesse sia tra le diverse attivita' svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali. Altra area di intervento della funzione di conformita' concerne la verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme, dello statuto nonche' di eventuali codici etici o altri standard di condotta applicabili alla banca. Rientrano nell'ambito della funzione di conformita' anche la consulenza e assistenza nei confronti degli organi di vertice della banca in tutte le materie in cui assume rilievo il rischio di non conformita' nonche' la collaborazione nell'attivita' di formazione del personale sulle disposizioni applicabili alle attivita' svolte al fine di diffondere una cultura aziendale improntata ai principi di onesta', correttezza e rispetto dello spirito e della lettera delle norme. Ferma restando la discrezionalita' delle banche nell'organizzare la funzione di conformita', in coerenza con le proprie peculiarita' dimensionali e operative nonche' con l'assetto organizzativo e strategico della gestione dei rischi, e' comunque necessario che la medesima funzione: sia indipendente. A tal fine e' necessario che: vengano formalizzati lo status e il mandato della funzione attraverso l'indicazione di compiti, responsabilita', addetti, prerogative, flussi informativi rivolti direttamente agli organi di vertice; venga nominato un responsabile indipendente; sia assicurata la presenza di adeguati presidi per prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi informativi separati e dedicati; sia dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere. Sotto il profilo delle risorse umane, le attivita' di conformita' possono essere svolte da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della funzione ovvero da dipendenti integrati in aree operative diverse. Indipendentemente dalla soluzione organizzativa prescelta, il personale che svolge funzioni di conformita' deve essere adeguato per: numero; competenze tecnico-professionali; aggiornamento, anche attraverso l'inserimento in programmi di formazione nel continuo. Inoltre, attraverso l'attribuzione di risorse economiche eventualmente attivabili anche in autonomia, dovra' essere consentito alla funzione il ricorso a consulenze esterne, in relazione alla particolare complessita' di specifiche innovazioni normative e/o operative; abbia accesso a tutte le attivita' della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche nonche' a qualsiasi informazione rilevante per lo svolgimento dei propri compiti, anche attraverso il colloquio diretto con il personale. Le banche di dimensioni contenute o caratterizzate da una limitata complessita' operativa possono affidare lo svolgimento della funzione di conformita' alle strutture esistenti incaricate della gestione dei rischi o a soggetti terzi (es. altre banche ovvero organismi associativi di categoria), purche' dotati di requisiti idonei in termini di professionalita' e indipendenza. In ogni caso deve essere nominato un responsabile della funzione all'interno dell'azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente, al quale spettano il compito di referente interno per il soggetto incaricato della funzione nonche' la complessiva supervisione dell'attivita' di gestione del rischio, posto che la responsabilita' per la corretta gestione del rischio di non conformita' resta in capo alla banca. L'esternalizzazione della funzione di conformita' deve essere formalizzata in un accordo, che definisca quanto meno i seguenti aspetti: gli obiettivi della funzione; la frequenza minima dei flussi informativi nei confronti del responsabile interno all'azienda e degli organi di vertice aziendali, fermo restando l'obbligo di corrispondere tempestivamente a qualsiasi richiesta di informazioni e consulenza da parte di questi ultimi; gli obblighi di riservatezza delle informazioni acquisite nell'esercizio della funzione; la possibilita' di rivedere le condizioni del servizio al verificarsi di modifiche nell'operativita' e nell'organizzazione della banca. 5. Il responsabile della funzione di conformita' alle norme. Al fine di assicurare l'efficacia della funzione di conformita' e' necessario che il responsabile possieda requisiti adeguati di indipendenza, autorevolezza e professionalita'. La nomina e la revoca del responsabile della conformita' sono di competenza, esclusiva e non delegabile, del consiglio di amministrazione (consiglio di gestione) sentito il collegio sindacale (consiglio di sorveglianza). Le banche provvedono a comunicare tempestivamente alla Banca d'Italia la nomina e l'eventuale revoca del responsabile della conformita'. Il responsabile della funzione di conformita' deve rivestire un ruolo all'interno della banca tale da conferire autorevolezza alla funzione medesima; puo' essere nominato responsabile della funzione anche un componente dell'organo amministrativo purche' non sia destinatario di deleghe. Se il responsabile della funzione e' un'esponente della dirigenza della banca non deve avere responsabilita' dirette di aree operative ne' deve essere gerarchicamente dipendente da soggetti responsabili di dette aree. Il personale incaricato di compiti di conformita', anche se inserito in aree operative, riferisce direttamente al responsabile della funzione per le questioni attinenti a detti compiti. Tali flussi informativi separati possono non essere necessari nelle ipotesi in cui il personale appartenga a strutture indipendenti della banca (es. legale, gestione del rischio). 6. Rapporti con altre funzioni aziendali. La funzione di conformita' collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge n. 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l'operativita' aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo. L'indipendenza della funzione, in un contesto caratterizzato da forti interrelazioni, e' assicurata dalla formalizzazione del mandato che ne sancisce l'autonomia rispetto sia alle strutture operative sia a quelle di controllo interno, attraverso la definizione espressa di ruoli e competenze. La funzione di conformita' si inserisce nel sistema dei controlli interni delle banche nell'ambito delle funzioni di controllo sulla gestione dei rischi (controlli di secondo livello), con l'obiettivo di concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformita', di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l'adozione. Il ruolo descritto differenzia sostanzialmente la funzione di conformita' da quella di revisione interna (cfr. Titolo IV - Capitolo 11 - Sezione II - paragrafo 1 delle istruzioni di vigilanza). L'adeguatezza ed efficacia della funzione di conformita' devono essere sottoposte a verifica periodica da parte della revisione interna. Ne consegue che, per assicurare l'imparzialita' delle verifiche, la funzione di conformita' non puo' essere affidata alla funzione di revisione interna. In ogni caso, attesa la contiguita' tra le due attivita', sono chiaramente individuati e comunicati all'interno della banca i compiti e le responsabilita' delle due funzioni, in particolare per quanto specificamente attiene alla suddivisione delle competenze relative alla misurazione dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonche' alle attivita' di verifica delle procedure medesime. Specifica attenzione e' posta nell'articolazione dei flussi informativi tra le due funzioni; in particolare il responsabile della revisione interna informa il responsabile della conformita' per le eventuali inefficienze nella gestione del rischio emerse nel corso delle attivita' di verifica di propria competenza. 7. La funzione di conformita' nelle strutture di gruppo. Le decisioni strategiche a livello di gruppo in materia di gestione del rischio di non conformita' sono rimesse agli organi aziendali della capogruppo. Le scelte effettuate tengono conto della specifica operativita' e dei connessi profili di rischio di non conformita' di ciascuna delle societa' componenti il gruppo. Gli organi aziendali delle componenti del gruppo devono essere consapevoli delle scelte effettuate dagli organi di vertice della capogruppo e sono responsabili, ciascuno secondo le proprie competenze, dell'attuazione nell'ambito della propria realta' aziendale delle strategie e politiche di gestione del rischio di non conformita'. In tale ottica e' necessario che la capogruppo coinvolga e renda partecipi, nei modi ritenuti piu' opportuni, gli organi aziendali delle controllate delle scelte effettuate in materia di politiche e procedure di gestione del rischio di non conformita'. Le attivita' relative alla funzione di conformita' potranno essere accentrate, al fine di conseguire economie di scala, anche attraverso la costituzione di unita' specializzate all'interno del gruppo medesimo; resta fermo, comunque, che in ciascuna banca del gruppo dovra' essere individuato un referente, che svolgera' funzioni di supporto per il responsabile di gruppo della conformita', in particolare nell'applicazione alla specifica realta' aziendale delle politiche di gestione delineate a livello di gruppo. Particolare attenzione richiede l'articolazione della funzione nei gruppi con operativita' internazionale, tenuti al rispetto delle regole vigenti in tutti i paesi in cui svolgano le proprie attivita'. In questi casi le banche dovranno individuare le soluzioni organizzative piu' idonee (es. compliance officer locali) per assicurare la corretta gestione del rischio derivante dalla necessita' di rispettare tutte le disposizioni applicabili in relazione ai diversi ambiti di operativita'. E' altresi' opportuno che societa' controllate da banche italiane operanti all'estero adottino i medesimi presidi di conformita' della capogruppo italiana, anche nei casi in cui la normativa dei paesi in cui la controllata e' stata costituita non preveda analoghi livelli di attenzione. In via transitoria, si fa presente che le banche che si sono gia' dotate di strutture incaricate della conformita', collocando organizzativamente i relativi compiti nella funzione di revisione interna, potranno adeguarsi alle presenti disposizioni in modo graduale. In particolare, entro dodici mesi dalla pubblicazione del presente provvedimento, le due funzioni dovranno essere rese organizzativamente e operativamente separate e indipendenti. Roma, 10 luglio 2007 Il direttore generale: Saccomanni