Compliance normativa
«Compliance starts at the top.»
«La compliance inizia al vertice.[1]»
In campo economico ed organizzativo con il termine compliance normativa (o regulatory compliance, in italiano conformità normativa) si intende la conformità a determinate norme, regole o standard. Nelle aziende indica il rispetto di specifiche disposizioni impartite dal legislatore, da autorità di settore nonché di regolamentazioni interne alle società stesse.[2]
In banca, ad esempio, la "funzione di compliance" ha il compito di garantire che "le procedure interne siano coerenti con l'obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici)"[3] al fine di evitare rischi di "incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni" di esse[4].
Il concetto di compliance in azienda è solitamente associato anche al concetto di onestà ed etica nei comportamenti, spesso in relazione a veri e propri codici etici o principi deontologici dei settori di appartenenza[5]. L'ISO 37301 Compliance management systems - Guidelines è la norma guida di riferimento per l'applicazione della compliance in qualsiasi organizzazione.
In Italia esiste un'associazione, ASSOCOMPLIANCE, che qualifica i compliance manager per conto del Ministero dello Sviluppo in base alla l. 4/13 e si occupa della diffusione di tale norma ISO.
Scopi
[modifica | modifica wikitesto]L'esigenza di istituire in azienda una funzione specifica di compliance nasce dalle riflessioni condotte a livello internazionale, anche a fronte di scandali e fallimenti, specie in campo finanziario, che hanno evidenziato l'esigenza di rafforzare presidi organizzativi volti ad assicurare la piena osservanza delle normative riguardanti l'attività svolta e, in particolare, le relazioni con la clientela.
Nelle banche, negli intermediari finanziari e nel comparto assicurativo la funzione di compliance svolge un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla regolamentazione prudenziale (Basilea II, Solvency II): ha infatti un'ottica prevalentemente preventiva nel presidiare rischi di carattere legale e reputazionale.
Obbligatorietà
[modifica | modifica wikitesto]Banche, intermediari che offrono servizi di investimento ed assicurazioni devono obbligatoriamente istituire una funzione di compliance secondo le indicazioni fornite rispettivamente da:
- Banca d'Italia nelle "Disposizioni di vigilanza - La funzione di conformità (compliance)" del 12 luglio 2007[6];
- CONSOB (congiuntamente a Banca d'Italia) nel "Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio" del 29 ottobre 2007[7];
- ISVAP nel "Regolamento N. 20 recante disposizioni in materia di controlli interni, gestione dei rischi, compliance (…)" del 26 marzo 2008 [8].
Tali normative di vigilanza recepiscono i principi guida in materia pubblicati nel 2005 dal Comitato di Basilea[9]. Molte aziende facenti parti di gruppi multinazionali, soprattutto se quotate in borsa, pur non essendo tenute a norma di legge, istituiscono una funzione di compliance.
In altri casi l'implementazione di una funzione di compliance è facoltativa ma assai diffusa nelle grandi aziende, specie a carattere multinazionale.
Regole fondamentali
[modifica | modifica wikitesto]Approccio per principi
[modifica | modifica wikitesto]L'approccio regolamentare alla compliance delle authority di controllo è caratterizzato da una limitata prescrittività. Si fonda, invece, sull'indicazione di principi generali, integrati, ove necessario, da linee guida applicative e indicazioni sulle prassi accettabili (principle based regulation). Il principio di proporzionalità rappresenta, inoltre, il canone interpretativo e applicativo cui le aziende devono necessariamente fare riferimento per trasporre le indicazioni di vigilanza nella specifica realtà aziendale in modo commisurato alla propria complessità dimensionale e/o operativa.
Indipendenza
[modifica | modifica wikitesto]In azienda la funzione di compliance deve essere indipendente; ciò significa che deve essere:
- formalizzato lo status e il mandato della funzione attraverso l'indicazione di compiti, responsabilità, addetti, prerogative;
- nominato un responsabile indipendente;
- assicurata la presenza di adeguati presidi per prevenire i conflitti di interesse, in particolare attraverso la previsione di flussi informativi separati e dedicati.
Rischio di (non) conformità alle norme
[modifica | modifica wikitesto]"Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina)."[10]
Ruolo degli organi di vertice
[modifica | modifica wikitesto]Il consiglio di amministrazione, il collegio sindacale e il direttore generale – ciascuno secondo le proprie specifiche competenze - devono assicurare un'efficace gestione del rischio di conformità. A tal fine:
- definiscono adeguate politiche e procedure di conformità;
- stabiliscono canali di comunicazione efficaci per assicurare che il personale a tutti i livelli dell'organizzazione sia a conoscenza dei presidi di conformità relativi ai propri compiti e responsabilità;
- assicurano che in caso di violazioni all'interno dell'organizzazione vengano osservate le necessarie politiche e procedure,
- accertano che siano apportati i rimedi necessari;
- delineano flussi informativi volti ad assicurare agli organi di vertice della società la piena consapevolezza delle modalità di gestione del rischio di non conformità.
Perimetro normativo
[modifica | modifica wikitesto]Ogni azienda deve definire il perimetro di riferimento della propria “funzione di compliance”, individuando le norme di etero e autoregolamentazione, rispetto alle quali essa ha la responsabilità di assicurare la conformità in via attuale e prospettica; in tale ambito vanno considerati settori e aree di operatività, strategie perseguite, modelli di business adottati, prodotti e servizi offerti, tipologia di clientela, priorità di rischio eventualmente rilevate.
Tra le normative generali che generalmente vengono fatte rientrare in tutte le aziende nell'ambito della compliance vi sono:
- antiriciclaggio e contrasto del finanziamento del terrorismo;
- D. lgs. 231/01 sulla responsabilità amministrativa delle persone giuridiche;
- privacy e protezione dei dati personali;
- D.Lgs 141/10 e Codice del Consumo;
- sicurezza informatica;
- D. lgs. 81/2008 sulla sicurezza sul posto di lavoro.
Per le società quotate vanno aggiunte norme ulteriori, quali ad esempio:
- legge 28 dicembre 2005, n. 262, "Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari".
Se le società sono quotate in mercati esteri, vanno ovviamente rispettate le norme locali; ad esempio, le aziende italiane quotate a NYSE devono rispettare, tra l'altro:
In ambito bancario "in via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l'esercizio dell'attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore"[10]. Di conseguenza, oltre alle normative generali di cui sopra, la funzione di compliance in banca si occupa anche di:
- trasparenza dei servizi bancari;
- normativa di contrasto all'usura;
- MiFID - direttiva sui mercati degli strumenti finanziari;
- PSD - direttiva sui servizi di pagamento;
- continuità operativa o continuità del servizio.
A seconda delle scelte di ogni singola organizzazione, a norme obbligatorie (leggi e regolamenti) possono essere aggiunte le eventuali norme volontarie, la cui applicazione è solitamente valutata da un organismo di certificazione: ad esempio, la qualità secondo la ISO 9001 o altre norme sui sistemi di gestione.
Compliance e internal audit
[modifica | modifica wikitesto]La funzione di conformità si inserisce nel più ampio sistema dei controlli interni ed in particolare nell'ambito delle funzioni di controllo sulla gestione dei rischi. Nelle banche è una funzione di controllo di "secondo livello"[11] e ha l'obiettivo di "concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l'adozione. Il ruolo descritto differenzia sostanzialmente la funzione di conformità da quella di revisione interna (cfr. Titolo IV – Capitolo 11 – Sezione II – Par. 1 delle Istruzioni di vigilanza)".
L'adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte dell'internal audit, o revisione interna (che nelle banche è una funzione di controllo di terzo livello); di conseguenza, per assicurare l'imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna.
I costi della compliance nelle banche
[modifica | modifica wikitesto]Il costo dell'introduzione nel 2008 della funzione di compliance nelle banche italiane è stato rilevato da CIPA(Convenzione Interbancaria per i Problemi dell'Automazione) che rileva annualmente i costi legati all'introduzione di nuove tecnologie nel comparto del credito.
Nella relazione del 2009, resa pubblica nel maggio 2010, CIPA scrive: “(…) Se si considerano i dati in valore assoluto e a campione costante, si osserva che la spesa per interventi di compliance è complessivamente scesa dai circa 207 milioni di euro del 2008 ai 142 milioni di euro del 2009. L'importo diminuito in modo più accentuato è quello per la "normativa interbancaria"; riduzioni significative si notano anche per quel che concerne gli interventi per la privacy e quelli connessi a normative pregresse e alla MiFID. In aumento, invece, la spesa per gli interventi di adeguamento alle disposizioni di Vigilanza Banca d'Italia e Consob, per la normativa contabile/fiscale nonché per la SEPA.”[12]
Costi | 2009 | 2008 | Differenza |
---|---|---|---|
Pregresse (vedi nota tabella) | 54 | 80 | -26 |
Trasparenza (solo 2009) | 6 | 0 | +6 |
Normativa interbancaria | 9 | 42 | -33 |
Vigilanza Consob | 4 | 3 | +1 |
Vigilanza Banca d'Italia | 15 | 11 | +4 |
Privacy | 3 | 9 | -6 |
Normativa fiscale e contabile | 7 | 6 | +1 |
Antiriciclaggio | 6 | 7 | -1 |
MiFID | 13 | 26 | -13 |
SEPA | 25 | 24 | +1 |
Totale Compliance | 142 | 207 | -65 |
(Nota tabella) Continuità operativa, Disaster recovery, Basilea2, ecc.
Note
[modifica | modifica wikitesto]- ^ Bank of International Settlements BIS, Compliance and the compliance function in banks, 2005, p. 16.
- ^ Massimo Balducci, Ma cosa è questa compliance?, su riskcompliance.it, Risk & Compliance Platform Europe, 15 gennaio 2020.
- ^ Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007, pag. 4
- ^ Banca d'Italia, "Relazione al Parlamento e al Governo[collegamento interrotto]", giugno 2007, pag. 66
- ^ “Il rispetto delle norme e la correttezza negli affari costituiscono elementi fondamentali nello svolgimento dell'attività bancaria, che per sua natura è fondata sulla fiducia.” Pag. 1 di: Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007
- ^ Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007
- ^ Provvedimento Banca d'Italia/Consob, "Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio", 29 ottobre 2007
- ^ ISVAP, Regolamento N. 20 del 26 marzo 2008, "Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private"
- ^ Bank for International Settlements (BIS), "Compliance and the compliance function in banks", 29 aprile 2005
- ^ a b Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007, pag. 2
- ^ Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007, pag. 8
- ^ ComplianceNet: "Cipa - Abi: rilevazione dello stato dell'automazione del sistema creditizio 2009, aspetti di compliance Archiviato il 29 giugno 2011 in Internet Archive." tratto a sua volta da CIPA (Convenzione Interbancaria per i Problemi dell'Automazione), "Rilevazione dello stato dell'automazione del sistema creditizio - Profili economici e organizzativi - Situazione al 2009"
Bibliografia
[modifica | modifica wikitesto]- Banca d'Italia, "Disposizioni di Vigilanza - La funzione di conformità (compliance)", 12 luglio 2007.
- CONSOB (congiuntamente a Banca d'Italia), "Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio", 29 ottobre 2007
- ISVAP, "Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione, ai sensi degli articoli 87 e 191, comma 1, del decreto legislativo 7 settembre 2005, n. 209 - codice delle assicurazioni private", 26 marzo 2008.
Voci correlate
[modifica | modifica wikitesto]- Antiriciclaggio
- Riciclaggio di denaro
- Responsabilità penale degli enti
- Privacy
- Sicurezza informatica
- Sicurezza sul lavoro
- ISO 9001
- Sarbanes-Oxley Act
- MiFID
- Continuità operativa
Collegamenti esterni
[modifica | modifica wikitesto]www.Codice231.com Codice della responsabilità amministrativa degli enti - D.Lgs 231/01 - annotato con la relazione ministeriale, la Giurisprudenza e con il correlato testo delle normative di riferimento - (open source)
- Associazioni attive in ambito compliance
- AICOM - Associazione Italiana Compliance
- Assocompliance - Associazione professionale esperti di Compliance riconosciuta dal Ministero dello Sviluppo Economico
- AIIA - Associazione Italiana Internal Auditors, sezione italiana dell'IIA, Institute of Internal Auditors
- AIRA Archiviato il 23 agosto 2010 in Internet Archive. - Associazione Italiana Responsabili Antiriciclaggio
- ACFE - Association of Certified Fraud Examiners
- Siti web
- ComplianceNet - sito di divulgazione sulla compliance in ambito bancario
- Compliance Aziendale - sito di divulgazione sulla compliance ed in particolare su 231/01 e sicurezza posto di lavoro
- Assocompliance- sito dell'associazione professionale esperti di compliance.
Controllo di autorità | Thesaurus BNCF 73828 · NDL (EN, JA) 00991913 |
---|