1. Premessa.
Il rispetto delle norme e la correttezza negli affari
costituiscono elementi fondamentali nello svolgimento dell'attivita'
bancaria, che per sua natura e' fondata sulla fiducia. L'evoluzione
dei mercati finanziari, in termini di innovazione dei prodotti, di
trasferimento del rischio e di proiezione internazionale, rende piu'
complessi l'identificazione e il controllo dei comportamenti che
possono dar luogo a violazioni di norme, di standard operativi, di
principi deontologici ed etici dell'attivita' di intermediazione.
Nel mutato contesto e' necessario, da un lato, promuovere una
cultura aziendale improntata a principi di onesta', correttezza e
rispetto non solo della lettera, ma anche dello spirito, delle norme;
dall'altro, approntare specifici presidi organizzativi, volti ad
assicurare il rigoroso rispetto delle prescrizioni normative e di
autoregolamentazione.
A tal fine, assume particolare rilievo la costituzione
all'interno delle banche e dei gruppi bancari di una specifica
funzione dedicata al presidio e al controllo della conformita'. Le
presenti disposizioni dettano principi di carattere generale, volti a
individuare le finalita' e i principali compiti della funzione di
conformita', riconoscendo nel contempo alle banche piena
discrezionalita' nella scelta delle soluzioni organizzative piu'
idonee ed efficaci per realizzarli. Esse si applicano alle banche e
ai gruppi bancari secondo il principio di proporzionalita', in
coerenza quindi con le specifiche caratteristiche dimensionali e
operative.
La funzione di conformita' svolge un ruolo di rilievo nella
creazione di valore aziendale, attraverso il rafforzamento e la
preservazione del buon nome della banca e della fiducia del pubblico
nella sua correttezza operativa e gestionale. Nel perseguimento di
questiobiettivi, le banche sono chiamate a prestare attenzione
soprattutto agli utenti dei servizi offerti, non solo attraverso la
puntuale e coerente applicazione della disciplina posta a tutela
della clientela, ma anche assicurando un'informazione completa che
promuova la consapevole assunzione delle scelte finanziarie.
Per lo svolgimento dei servizi e delle attivita' di investimento
da parte delle banche, troveranno applicazione anche le disposizioni
di recepimento della direttiva 2006/73/CE relative alla funzione di
conformita' di cui all'art. 6 della medesima direttiva. Nelle more
dell'adozione della richiamata disciplina, rilevano le disposizioni
in materia di controlli interni di cui al Regolamento Intermediari,
adottato dalla CONSOB con delibera n. 11522/1998.
2. Il rischio di non conformita' alle norme.
Il rischio di non conformita' alle norme e' il rischio di
incorrere in sanzioni giudiziarie o amministrative, perdite
finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme imperative (di legge o di regolamenti) ovvero di
autoregolamentazione (es. statuti, codici di condotta, codici di
autodisciplina).
Detto rischio e' diffuso a tutti livelli dell'organizzazione
aziendale, soprattutto nell'ambito delle linee operative; l'attivita'
di prevenzione deve svolgersi in primo luogo dove il rischio viene
generato: e' pertanto necessaria un'adeguata responsabilizzazione di
tutto il personale.
In via generale, le norme piu' rilevanti ai fini del rischio di
non conformita' sono quelle che riguardano l'esercizio dell'attivita'
di intermediazione, la gestione dei conflitti di interesse, la
trasparenza nei confronti del cliente e, piu' in generale, la
disciplina posta a tutela del consumatore.
Un'efficace ed efficiente gestione del rischio di non
conformita', oltre alla responsabilizzazione di tutti i dipendenti,
richiede, tra l'altro:
una chiara e formalizzata individuazione e distinzione di ruoli
e responsabilita' ai diversi livelli dell'organizzazione della banca;
l'istituzione di un'apposita funzione incaricata della gestione
del rischio di non conformita';
la nomina di un responsabile della conformita' all'interno
della banca;
la predisposizione di un documento interno che indichi
responsabilita', compiti, modalita' operative, flussi informativi,
programmazione e risultati dell'attivita' svolta dalla funzione di
conformita'.
3. Ruolo degli organi di vertice della banca.
Il consiglio di amministrazione e il collegio sindacale sono
responsabili della supervisione complessiva del sistema di gestione
del rischio di non conformita' alle norme. Nel caso in cui le banche
adottino un modello organizzativo diverso da quello tradizionale,
detto compito spetta: nel modello dualistico, al consiglio di
sorveglianza e al consiglio di gestione; nel modello monistico, al
consiglio di amministrazione.
In particolare, il consiglio di amministrazione, sentito il
collegio sindacale, con apposita delibera (non delegabile) approva le
politiche di gestione del rischio in questione, ivi inclusa la
costituzione di una funzione di conformita' alle norme, permanente e
indipendente. Per le banche che adottino il sistema di
amministrazione e controllo dualistico, e' opportuno che lo statuto
preveda su dette materie una delibera del consiglio di sorveglianza,
su proposta del consiglio di gestione. In caso di modello monistico,
la delibera deve essere approvata, oltre che dal consiglio di
amministrazione nel suo complesso, anche dal comitato per il
controllo sulla gestione.
Almeno una volta l'anno il consiglio di amministrazione, sentito il
collegio sindacale, valuta l'adeguatezza della funzione di
conformita' alle norme e a tal fine puo' avvalersi di un comitato
costituito al suo interno; nel modello dualistico, detta valutazione
e' svolta dal consiglio di gestione e gli esiti della stessa sono
comunicati al consiglio di sorveglianza, ovvero a un comitato
costituito al suo interno.
Gli organi delegati (o nel modello dualistico il consiglio di
gestione) e il direttore generale - secondo le specifiche competenze
definite in via generale con riferimento al sistema dei controlli
interni - devono assicurare una efficace gestione del rischio di
conformita'. A tal fine: definiscono adeguate politiche e procedure
di conformita'; stabiliscono canali di comunicazione efficaci per
assicurare che il personale a tutti i livelli dell'organizzazione sia
a conoscenza dei presidi di conformita' relativi ai propri compiti e
responsabilita'; assicurano che le politiche e le procedure vengano
osservate all'interno della banca; nel caso emergano violazioni,
accertano che siano apportati i rimedi necessari; delineano flussi
informativi volti ad assicurare agli organi di vertice della societa'
piena consapevolezza sulle modalita' di gestione del rischio di non
conformita'.
Inoltre, con la collaborazione della funzione di conformita', gli
organi delegati (o nel modello dualistico il consiglio di gestione e
il direttore generale - secondo le rispettive competenze - hanno il
compito di:
identificare e valutare, almeno una volta all'anno, i
principali rischi di non conformita' a cui la banca e' esposta e
programmare i relativi interventi di gestione. La programmazione
degli interventi deve riguardare sia le eventuali carenze (di
politica, procedurali, di implementazione o esecuzione) emerse
nell'operativita' aziendale, sia la necessita' di affrontare
eventuali nuovi rischi di non conformita' identificati a seguito
della valutazione annuale del rischio;
riferire di iniziativa o su richiesta, almeno una volta
all'anno, al consiglio di amministrazione (o a un comitato costituito
al suo interno) e al collegio sindacale ovvero al consiglio di
sorveglianza (o a un comitato costituito al suo interno)
sull'adeguatezza della gestione del rischio di non conformita'
attuata dalla banca;
fornire tempestiva informazione al consiglio di amministrazione
(o a un comitato costituito al suo interno) e al collegio sindacale
(o al consiglio di sorveglianza (1) o al comitato di controllo sulla
gestione) su ogni violazione rilevante della conformita' alle norme
(es. violazioni che possono comportare un alto rischio di sanzioni
regolamentari o legali, perdite finanziarie di rilievo o danno di
reputazione).
----
(1) Le violazioni devono essere portate a conoscenza del
comitato costituito all'interno del consiglio di
sorveglianza di cui sono attribuite funzioni in materia di
controlli interni
4. La funzione di conformita' alle norme.
Una gestione dinamica e consapevole del rischio di non
conformita' richiede l'istituzione di un'apposita funzione, il cui
compito specifico e' quello di verificare che le procedure interne
siano coerenti con l'obiettivo di prevenire la violazione di norme di
etero regolamentazione (leggi e regolamenti) e autoregolamentazione
(codici di condotta, codici etici) applicabili alla banca. Detta
funzione e' parte integrante del sistema dei controlli interni delle
banche (Titolo IV - Capitolo 11 - Sezione II delle istruzioni di
vigilanza).
I principali adempimenti che la funzione di conformita' e'
chiamata a svolgere sono:
l'identificazione nel continuo delle norme applicabili alla
banca e la misurazione/valutazione del loro impatto su processi e
procedure aziendali;
la proposta di modifiche organizzative e procedurali
finalizzata ad assicurare adeguato presidio dei rischi di non
conformita' identificati;
la predisposizione di flussi informativi diretti agli organi
aziendali e alle strutture coinvolte (gestione del rischio operativo
e revisione interna);
la verifica dell'efficacia degli adeguamenti organizzativi
(strutture, processi, procedure anche operative e commerciali)
suggeriti per la prevenzione del rischio di conformita'.
In relazione ai molteplici profili professionali richiesti per
l'espletamento di tali adempimenti, le varie fasi in cui si articola
l'attivita' della funzione di conformita' possono essere affidate a
strutture organizzative diverse gia' presenti nella banca (es.
legale, organizzazione, gestione del rischio operativo), purche' il
processo di gestione del rischio e l'operativita' della funzione
siano ricondotti ad unita' mediante la nomina di un responsabile che
coordini e sovrintenda alle diverse attivita', anche attraverso la
predisposizione di un apposito programma di attivita'.
La funzione di conformita' deve essere coinvolta nella
valutazione ex ante della conformita' alla regolamentazione
applicabile di tutti i progetti innovativi che la banca intenda
intraprendere nonche' nella prevenzione e nella gestione dei
conflitti di interesse sia tra le diverse attivita' svolte dalla
banca sia con riferimento ai dipendenti e agli esponenti aziendali.
Altra area di intervento della funzione di conformita' concerne
la verifica della coerenza del sistema premiante aziendale (in
particolare retribuzione e incentivazione del personale) con gli
obiettivi di rispetto delle norme, dello statuto nonche' di eventuali
codici etici o altri standard di condotta applicabili alla banca.
Rientrano nell'ambito della funzione di conformita' anche la
consulenza e assistenza nei confronti degli organi di vertice della
banca in tutte le materie in cui assume rilievo il rischio di non
conformita' nonche' la collaborazione nell'attivita' di formazione
del personale sulle disposizioni applicabili alle attivita' svolte al
fine di diffondere una cultura aziendale improntata ai principi di
onesta', correttezza e rispetto dello spirito e della lettera delle
norme.
Ferma restando la discrezionalita' delle banche nell'organizzare
la funzione di conformita', in coerenza con le proprie peculiarita'
dimensionali e operative nonche' con l'assetto organizzativo e
strategico della gestione dei rischi, e' comunque necessario che la
medesima funzione:
sia indipendente. A tal fine e' necessario che: vengano
formalizzati lo status e il mandato della funzione attraverso
l'indicazione di compiti, responsabilita', addetti, prerogative,
flussi informativi rivolti direttamente agli organi di vertice; venga
nominato un responsabile indipendente; sia assicurata la presenza di
adeguati presidi per prevenire i conflitti di interesse attraverso,
in particolare, la previsione di flussi informativi separati e
dedicati;
sia dotata di risorse qualitativamente e quantitativamente
adeguate ai compiti da svolgere. Sotto il profilo delle risorse
umane, le attivita' di conformita' possono essere svolte da personale
inserito in una struttura organizzativa dedicata e gerarchicamente
dipendente dal responsabile della funzione ovvero da dipendenti
integrati in aree operative diverse. Indipendentemente dalla
soluzione organizzativa prescelta, il personale che svolge funzioni
di conformita' deve essere adeguato per: numero; competenze
tecnico-professionali; aggiornamento, anche attraverso l'inserimento
in programmi di formazione nel continuo. Inoltre, attraverso
l'attribuzione di risorse economiche eventualmente attivabili anche
in autonomia, dovra' essere consentito alla funzione il ricorso a
consulenze esterne, in relazione alla particolare complessita' di
specifiche innovazioni normative e/o operative;
abbia accesso a tutte le attivita' della banca svolte sia
presso gli uffici centrali sia presso le strutture periferiche
nonche' a qualsiasi informazione rilevante per lo svolgimento dei
propri compiti, anche attraverso il colloquio diretto con il
personale.
Le banche di dimensioni contenute o caratterizzate da una
limitata complessita' operativa possono affidare lo svolgimento della
funzione di conformita' alle strutture esistenti incaricate della
gestione dei rischi o a soggetti terzi (es. altre banche ovvero
organismi associativi di categoria), purche' dotati di requisiti
idonei in termini di professionalita' e indipendenza. In ogni caso
deve essere nominato un responsabile della funzione all'interno
dell'azienda, dotato delle caratteristiche e prerogative indicate nel
paragrafo seguente, al quale spettano il compito di referente interno
per il soggetto incaricato della funzione nonche' la complessiva
supervisione dell'attivita' di gestione del rischio, posto che la
responsabilita' per la corretta gestione del rischio di non
conformita' resta in capo alla banca.
L'esternalizzazione della funzione di conformita' deve essere
formalizzata in un accordo, che definisca quanto meno i seguenti
aspetti:
gli obiettivi della funzione;
la frequenza minima dei flussi informativi nei confronti del
responsabile interno all'azienda e degli organi di vertice aziendali,
fermo restando l'obbligo di corrispondere tempestivamente a qualsiasi
richiesta di informazioni e consulenza da parte di questi ultimi;
gli obblighi di riservatezza delle informazioni acquisite
nell'esercizio della funzione;
la possibilita' di rivedere le condizioni del servizio al
verificarsi di modifiche nell'operativita' e nell'organizzazione
della banca.
5. Il responsabile della funzione di conformita' alle norme.
Al fine di assicurare l'efficacia della funzione di conformita'
e' necessario che il responsabile possieda requisiti adeguati di
indipendenza, autorevolezza e professionalita'.
La nomina e la revoca del responsabile della conformita' sono di
competenza, esclusiva e non delegabile, del consiglio di
amministrazione (consiglio di gestione) sentito il collegio sindacale
(consiglio di sorveglianza). Le banche provvedono a comunicare
tempestivamente alla Banca d'Italia la nomina e l'eventuale revoca
del responsabile della conformita'.
Il responsabile della funzione di conformita' deve rivestire un
ruolo all'interno della banca tale da conferire autorevolezza alla
funzione medesima; puo' essere nominato responsabile della funzione
anche un componente dell'organo amministrativo purche' non sia
destinatario di deleghe. Se il responsabile della funzione e'
un'esponente della dirigenza della banca non deve avere
responsabilita' dirette di aree operative ne' deve essere
gerarchicamente dipendente da soggetti responsabili di dette aree.
Il personale incaricato di compiti di conformita', anche se
inserito in aree operative, riferisce direttamente al responsabile
della funzione per le questioni attinenti a detti compiti. Tali
flussi informativi separati possono non essere necessari nelle
ipotesi in cui il personale appartenga a strutture indipendenti della
banca (es. legale, gestione del rischio).
6. Rapporti con altre funzioni aziendali.
La funzione di conformita' collabora con le altre funzioni
presenti in azienda (es. revisione interna, controllo del rischio
operativo, funzione legale, organizzazione, organismo di vigilanza
individuato ai sensi della legge n. 231/2001, ecc.) allo scopo di
sviluppare le proprie metodologie di gestione del rischio in modo
coerente con le strategie e l'operativita' aziendale, disegnando
processi conformi alla normativa e prestando ausilio consultivo.
L'indipendenza della funzione, in un contesto caratterizzato da
forti interrelazioni, e' assicurata dalla formalizzazione del mandato
che ne sancisce l'autonomia rispetto sia alle strutture operative sia
a quelle di controllo interno, attraverso la definizione espressa di
ruoli e competenze.
La funzione di conformita' si inserisce nel sistema dei controlli
interni delle banche nell'ambito delle funzioni di controllo sulla
gestione dei rischi (controlli di secondo livello), con l'obiettivo
di concorrere alla definizione delle metodologie di
misurazione/valutazione del rischio di conformita', di individuare
idonee procedure per la prevenzione dei rischi rilevati e di
richiederne l'adozione. Il ruolo descritto differenzia
sostanzialmente la funzione di conformita' da quella di revisione
interna (cfr. Titolo IV - Capitolo 11 - Sezione II - paragrafo 1
delle istruzioni di vigilanza).
L'adeguatezza ed efficacia della funzione di conformita' devono
essere sottoposte a verifica periodica da parte della revisione
interna. Ne consegue che, per assicurare l'imparzialita' delle
verifiche, la funzione di conformita' non puo' essere affidata alla
funzione di revisione interna. In ogni caso, attesa la contiguita'
tra le due attivita', sono chiaramente individuati e comunicati
all'interno della banca i compiti e le responsabilita' delle due
funzioni, in particolare per quanto specificamente attiene alla
suddivisione delle competenze relative alla misurazione dei rischi,
alla consulenza in materia di adeguatezza delle procedure di
controllo nonche' alle attivita' di verifica delle procedure
medesime.
Specifica attenzione e' posta nell'articolazione dei flussi
informativi tra le due funzioni; in particolare il responsabile della
revisione interna informa il responsabile della conformita' per le
eventuali inefficienze nella gestione del rischio emerse nel corso
delle attivita' di verifica di propria competenza.
7. La funzione di conformita' nelle strutture di gruppo.
Le decisioni strategiche a livello di gruppo in materia di
gestione del rischio di non conformita' sono rimesse agli organi
aziendali della capogruppo. Le scelte effettuate tengono conto della
specifica operativita' e dei connessi profili di rischio di non
conformita' di ciascuna delle societa' componenti il gruppo. Gli
organi aziendali delle componenti del gruppo devono essere
consapevoli delle scelte effettuate dagli organi di vertice della
capogruppo e sono responsabili, ciascuno secondo le proprie
competenze, dell'attuazione nell'ambito della propria realta'
aziendale delle strategie e politiche di gestione del rischio di non
conformita'. In tale ottica e' necessario che la capogruppo coinvolga
e renda partecipi, nei modi ritenuti piu' opportuni, gli organi
aziendali delle controllate delle scelte effettuate in materia di
politiche e procedure di gestione del rischio di non conformita'.
Le attivita' relative alla funzione di conformita' potranno
essere accentrate, al fine di conseguire economie di scala, anche
attraverso la costituzione di unita' specializzate all'interno del
gruppo medesimo; resta fermo, comunque, che in ciascuna banca del
gruppo dovra' essere individuato un referente, che svolgera' funzioni
di supporto per il responsabile di gruppo della conformita', in
particolare nell'applicazione alla specifica realta' aziendale delle
politiche di gestione delineate a livello di gruppo.
Particolare attenzione richiede l'articolazione della funzione
nei gruppi con operativita' internazionale, tenuti al rispetto delle
regole vigenti in tutti i paesi in cui svolgano le proprie attivita'.
In questi casi le banche dovranno individuare le soluzioni
organizzative piu' idonee (es. compliance officer locali) per
assicurare la corretta gestione del rischio derivante dalla
necessita' di rispettare tutte le disposizioni applicabili in
relazione ai diversi ambiti di operativita'.
E' altresi' opportuno che societa' controllate da banche italiane
operanti all'estero adottino i medesimi presidi di conformita' della
capogruppo italiana, anche nei casi in cui la normativa dei paesi in
cui la controllata e' stata costituita non preveda analoghi livelli
di attenzione.
In via transitoria, si fa presente che le banche che si sono gia'
dotate di strutture incaricate della conformita', collocando
organizzativamente i relativi compiti nella funzione di revisione
interna, potranno adeguarsi alle presenti disposizioni in modo
graduale. In particolare, entro dodici mesi dalla pubblicazione del
presente provvedimento, le due funzioni dovranno essere rese
organizzativamente e operativamente separate e indipendenti.
Roma, 10 luglio 2007
Il direttore generale: Saccomanni