Tecnicalità e Strumenti per sviluppare Piani Industriali Value Oriented - 2
compliance nelle banche e imprese
1. E L E ME N T I E VO L U T IVI D E L F R AME WO R K
D I GE ST IO N E E C O N T ROL L O IN T E MA D I
C O MPL IAN C E E R ISC HI
L’assorbimento
della complessità
4. “Sana e prudente gestione”
— Un semplice principio a guida del comportamentodel
business nel nuovo millennio:
— Questo semplice principio racchiude in se un
concetto antico e sempre valido cui si devono
ispirare le moderne gestioni di impresa.
— Oggi molta parte dell’attuazione diquesto principio
si estrinsecanellacosiddetta Compliance globale.
— Ovvero Conformità ai principi e alle regole,
comprensionee consapevolezzadei rischi e loro
mitigazione.
5. I
• n altre parole … EVITA CHE LA BANCA E I SUOI AMMINISTRATORI SI TROVINO NEI
GUAI
• In altre parole … FAVORISCE LA QUALITA’ DEL BUSINESS, AUMENTA LA FIDUCIA
DELLA CLIENTELA, PRODUCE VALORE PER LA BANCA
• In altre parole … SOSTIENE I COMPORTAMENTI ETICAMENTE CORRETTI
FAVORENDONE LA DIFFUSIONE, INCREMENTA LA REPUTAZIONE
LA FUNZIONE DI COMPLIANCE
6. Rappresenta un’efficace risposta per ::
LA FUNZIONE DI COMPLIANCE
(es.: attraverso seri codici di condotta, programmi di
formazione mirati, sistemi di valutazione che premino i comportamenti corretti)
(a seguito dell’attività di analisi,
monitoraggio e impulso)
(i collaboratori devono essere
consapevoli dei rischi e capaci di approntare le misure più idonee a fronteggiarli)
(es:
consulenza ai nuovi prodotti, analisi ex ante delle normative di impatto compliance)
7. NON ESISTE UNAFUNZIONE COMPLIANCE “ARCHETIPO” BUONA PER TUTTI
LE DIMENSIONI, LA STRUTTURA INTERNA, L’APPARTENENZA AD UN GRUPPO, IL TIPO DI ATTIVITA’
SVOLTA INCIDONO SUL MODELLO ORGANIZZATIVODI COMPLIANCE DI OGNISINGOLA BANCA
POSSONO INDIVIDUARSI, COMUNQUE, PRINCIPI COMUNI SUI QUALI COSTRUIRE LE BASI DI UNA
EFFICACE ED EFFICIENTE FUNZIONEDI COMPLIANCE
OCCORRE ALLINEARE L’INTERA STRUTTURA ALLA CONSAPEVOLEZA DELLA CONFORMITÀ
OCCORRE INTRODURRE UNA NUOVA METODICA NELLA GESTIONE DEL RISCHIO DI COMPLIANCE DEL
RISCHIO REPUTAZIONALE E DEI RISCHI OPERATIVI IN GENERE
OCCORRE MODIFICARE IL SISTEMA DEI CONTROLLI (PROCESSI AUDITING, LEGALI, RISK MANAGMENT)
PER RISPONDERE ADEGUATAMENTE ALL’ESIGENZA DI UN CONTROLLO FORMATIVO
RICHIEDE UNA VISONE ESTESA DI TIPO OLISTICO PER LA MULTIDISCIPLINARIETÀ DEI TEMI DA
AFFRONTARE
NON PUÒ ASSOLUTAMENTE RISOLVERSI CON UNA SEMPLICE ADESIONE FORMALE A NORME E
REGOLAMENTI MA RCHIEDE L’INTERIORIZZAZIONE DEI PRINCIPICHE LE GENERANO
Alcuni concetti base
8. RESPONSABILITÀ DEGLI ORGANI DI VERTICE E DEL SENIOR
MANAGEMENT
GLI ORGANI DI VERTICE E IL SENIOR MANAGEMENT SONO I RESPONSABILI DEL
PROCESSO DI COMPLIANCE (FORTE COMMITTMENTE E ESEMPIO)
IL CONSIGLIO DI AMMINISTRAZIONE (Consiglio di Sorveglianza per il
modello dualistico), IN QUANTO RESPONSABILE DEL SISTEMA DEI
CONTROLLI INTERNI, E’ ANCHE IL PRINCIPALE RESPONSABILE
DELLE ATTIVITA’ DI COMPLIANCE E QUINDI IL MASSIMO
SUPERVISORE DEI RELATIVI RISCHI
TALE RESPONSABILITÀ IMPLICA NELLA PRATICA I SEGUENTI INTERVENTI:
1. APPROVAZIONE DEL COMPLIANCEPLAN E DEL COMPLIANCEPROGRAM
2. DOTAZIONE DI RISORSE ADEGUATE DA ATTRIBUIRE ALLA STRUTTURA COMPLIANCE
3. INDIVIDUAZIONE DEI FLUSSI INFORMATIVI E DELLE RELATIVE TEMPISTICHE
4. REVISIONE PERIODICA DELLA STRUTTURA DI COMPLIANCE AL FINE DI ASSICURARNE
L’ADEGUATEZZA, L’EFFICACIA E L’EFFICIENZA
Alcuni concetti base
10. IL MANDATO ATTRIBUITO ALLA FUNZIONE DEVE COMPRENDERE ED ESPLICITARE:
1. DEICHIARI OBIETTIVI,PER IL CONSEGUIMENTODEIQUALIDEVONOESSERESPECIFICATE
AMPIEZZA EDAUTORITA’
2. ILLIVELLO DIAUTONOMIA EINDIPENDENZA NONCHE ICANALI DICOMUNICAZIONE
3. L’ATTRIBUZIONE DI AUTOREVOLEZZA FORMALE E SOSTANZIALE, CHE ESPLICITI LA
LEGITTIMAZIONE DELLA FUNZIONE AD INTERVENIRE PER IL SUPERAMENTO DELLE
CRITICITA’ EVIDENZIATE NELPROCESSO DICOMPLIANCE
4. LE MODALITA’ DI DIFFUSIONE, AI FINI DI UN’ADEGUATA CONOSCENZA DEL MANDATO
FRALEALTRE FUNZIONI AZIENDALI
5. INOLTREDEVECOSTITUIREUnadeguatopresidioex-anteairischireputazionaliedistrategia
nonché integrare l’operatività connesse da DL 231/2001 e a tutte le norme di impatto
diretto oindiretto sulla responsabilità dell’ente odella suacredibilità.
Alcuni concetti base
11. LA FUNZIONE DEVE A PROMUOVERE UNA CULTURA DELLA CONFORMITA’ ED A
DIFFONDERE I PRINCIPI E LE NORME DI DEONTOLOGIA, CON PARTICOLARE
RIFERIMENTO AI TEMI DELLA PREVENZIONE AI REATI DI MAGGIORE ALLARME SOCIALE:
RICICLAGGIO E TERRORISMO
CORRUZIONE
USURA
SFRUTTAMENTO
PER GARANTIRE
TRASPARENZA ED INTEGRITÀ DEI MERCATI
OPERAZIONI PERSONALI DEI COLLABORATORI CONFORMI ALLENORME
CORRETTEZZA NELLO SVOLGIMENTO DEI SERVIZI DI INVESTIMENTO
PRESIDIO DI CORRETTEZZA ETICA
Alcuni concetti base
12. LA FUNZIONE CONTRIBUISCE A PROMUOVERE UNA CULTURA DELLA CONFORMITA’
ED A DIFFONDERE I PRINCIPI E LE NORME DI DEONTOLOGIA
PER LA REALIZZAZIONE DI QUESTA ESSENZIALE ATTIVITA’ LA FUNZIONE DEVE SVOLGERE
UNA INCISIVA ATTIVITA’ DI FORMAZIONE E DI SENSIBILIZZAZIONE PER RENDERE I
COLLABORATORI:
CONSAPEVOLI DEI RISCHI DI NON CONFORMITA’
INDOTTI A COMPORTAMENTI CORRETTI E CONFORMI A REGOLE INTERNE ED
ESTERNE
IL RISPETTO DI STANDARD ETICI DA PARTE DEI COLLABORATORI DEVE INCIDERE SULLA
VALUTAZIONE DELLA PRESTAZIONE PROFESSIONALE DEL DIPENDENTE E SUL SISTEMA
PREMIANTE
Alcuni concetti base
13. IL POSIZIONAMENTO ORGANIZZATIVO
LA FUNZIONE DEVE ESSERE INDIPENDENTE DALLE STRUTTURE OPERATIVE
IL MANDATO DEVE CHIARIRE LA GIUSTA DIFFERENZAZIONE DALLE ALTRE
FUNZIONI DI CONTROLLO (in particolare internal audit e risk management),
DEFINENDO ESPLICITAMENTE I RISPETTIVI RUOLI E COMPETENZE ED
EVIDENZIANDO LE POSSIBILI SINERGIE
IL MANDATO DEVE ARMONIZZARE IL PROCESSO “FORMAZIONE E
CONTROLLO” SENZA APPESANTIRE L’OPERATIVITA DELLA BANCA
OCCORRE PASSARE DAL CONTROLLO ATTIVO ALL’AUTOCONTROLLO
PROATTIVO CONDIVISO
Alcuni concetti base
14. LA FUNZIONE DEVE ESSERE DOTATA DI MEZZI E RISORSE ADEGUATE PER
L’EFFICACIA DELLA SUA AZIONE .
In pratica deve poter agire senza condizionamenti e pregiudiziali derivati da
scelte prettamente impostate su una visione di business fine a se stesso ma
deve fare della conformità una componente fondante del valore
complessivo dell’impresa.
L’attuazione di flussi informativi e la predisposizione di specifici processi
formativi devono garantire nel continuo la disponibilità della competenza e
conoscenze necessarie per svolgere le azioni di adeguamento previste dal
mandato
LA FUNZIONE CHIEDE DI CONFORMARSI E CONFORMARE L’OPERATO A DEI
PRINCIPI NON TANTO AD UN NUMERO PIÙ O MENO AMPIO DI REGOLETTE
FORMALI, DEVE PERTANTO POTER AGIRE COME UN “CLERO” DELLA SOCIETÀ
Alcuni concetti base
15. Alcuni concetti base
LA FUNZIONE DI COMPLIANCE GOVERNA UN PROCESSO TRASVERSALE COMPOSTO DA
PRESIDI ORGANIZZATIVI ED OPERATIVI DIRETTI AD EVITARE DISALLINEAMENTI CON
L’INSIEME DELLE REGOLE INTERNE EDESTERNE
LA COMPLIANCE, D’INTESA CON LE ALTRE FUNZIONI CHE COSTITUISCONO IL SISTEMA DEI
CONTROLLI, HA IL COMPITO DI RELAZIONARE SUI RISCHI DI COMPLIANCE IN UNA
VISIONE SISTEMICA E D’INSIEME; (holistic approach)
LA FUNZIONE COLLABORA AL SISTEMA DI PREVENZIONE GLOBALE DEI RISCHI
INDIVIDUANDO IDONEE SOLUZIONIPER LALORO MITIGAZIONE
LA FUNZIONE PONE LE BASI PER LA MITIGAZIONE E LA GESTIONE EX ANTE DEI RISCHI
REPUTAZIONALI COME PREVISTO ANCHE DAL COMITATO DI BASILEA
LA FUNZIONE DEVE CREARE UNA CONSAPEVOLEZZA ALLA CONFORMITÀ FORNENDO
STRUMENTI DI AUTOCONTROLLO E VERIFICA
IL PROCESSO DI COMPLIANCE
16. IL PROCESSO DI COMPLIANCE
I PROCESSI DI COMPLIANCE POSSONO ESSERE SVOLTI:
§ INTERAMENTE DA RISORSE INQUADRATE IN VIA GERARCHICA ED ORGANIZZATIVA NELLA
FUNZIONE COMPLIANCE (modello del clero)
§ IN PARTE ANCHE DA RISORSE APPARTENENTI AD AREE OPERATIVE FORMANDO E DANDOLE UN
INSIEME DI PRINCIPI FACILMENTE VERIFICABILI (concetto di pervasività)
IN PRESENZA DI RISORSE INSERITE NELLE AREE OPERATIVE GLI INTERVENTI DI COMPLIANCE
EFFETTUATI DA TALI RISORSE NELL’AMBITO DELLE RISPETTIVE STRUTTURE DEVONO ESSERE:
§ CONCORDATI PREVENTIVAMENTE CON LA FUNZIONE DI COMPLIANCE E INSERITI NELLA
PIANIFICAZIONE E NEI MECCANISMI DI CONTROLLO DI QUEST’ULTIMA
§ RIPORTATI, UNA VOLTA REALIZZATI, IN APPOSITI FLUSSI INFORMATIVI DESTINATI ALLA
FUNZIONE COMPLIANCE E SOTTOPOSTI AL SUO GIUDIZIO; IN CASO DI GIUDIZIO NEGATIVO LA
FUNZIONE PUÒ RICHIEDERE INTERVENTI INTEGRATIVI
§NEL TEMPO MOLTI DEI CONTROLLI DI CONFORMITA’ DOVRANNO ESSERE PARTE INTEGRANTE E
INTEGRALE DEI SITEMI OPERATIVI DI GESTIONE
Alcuni concetti base
17. LE TECNICHE DI IDENTIFICAZIONE, GESTIONE E
MONITORAGGIO DEI RISCHI DI COMPLIANCE DEVONO ESSERE
ALLINEATE E COERENTI CON QUELLE DEI DUE ALTRI CARDINI
DEL SISTEMA DI CONTROLLO RISK MANAGEMENT E AUDIT
L’UTILIZZO DI TALI TECNICHE PRESERVA LA REPUTAZIONE
AZIENDALE E CONSOLIDA LE RELAZIONI FIDUCIARIE CON LA
CLIENTELA INTERRELANDOSI ANCHE CON LA C.S.R.
TALI TECNICHE SUL PIANO OPERATIVO DEVONO INTEGRARSI
PIU CON LE PROBLEMATICHE DEI COSIDETTI RISCHI OPERATIVI
CHE GLI ALTRI TIPI DI RISCHIO
INTERAZIONE CON ALTRI RUOLI
18. Nuove esperienze
Dalla Gestione dei rischi , dall’evoluzione dei sistemi di Performance management (CdG)
e dalle moderne tecniche di Auditing emergono alcune considerazioni.
— L’esame delle esperienze maturate nella tematica globale dei rischi impongono una
fase di riflessione sull’approccio sino ad oggi adottato: un problema una soluzione.
— La domanda di una “consapevolezza dei rischi insiti in ogni aspetto dell’attività di
un’impresa” e delle banche in particolare, emerge da una pluralità di leggi, stimoli e
dall’esperienza quotidiana e richiede la capacità di una visione d’insieme.
— Che a questo si debba associare anche un agire intrinsecamente corretto (o etico) è
ancora più evidente, ma implica un salto culturale.
— Gli strumenti a supporto devono essere di tipo proattivo e integrati trasversalmente
all’intera struttura dei processi.
— Il proliferare delle norme e dei regolamenti richiede una riduzione della complessità,
frutto dell’approccio riduzionista, a favore di un nuovo approcci di tipo olistico.
— Da queste premesse parte la nostra proposta o fase due della Conformità
d’Impresa.
18
19. Gli Approcci Correnti
— A livello di filosofia del Compliance esistono due concezioni di base molto differenti
tra loro. La prima, di origine anglosassone, vede il Compliance come controllore e
quasi “poliziotto”, che rileva e punisce le infrazioni rilevate.
— La seconda, più moderna, vuole un Compliance che, pur controllando il rispetto
delle normative, si pone come un consulente interno della Direzione e del personale.
Dalle esperienze fatte nella pratica si è riscontrato chiaramente che la prima
concezione è svantaggiosa in quanto l’instaurazione di un clima di diffidenza e
timore sfavorisce la collaborazione costruttiva e lo scambio aperto e trasparente di
informazioni.
— Rientra nella concezione più attuale della Compliance il fatto di adottare un
approccio ex-ante, ovvero preventivo, anziché un approccio di limitazione dei danni
ex-post.
— Questo secondo tipo di approccio risulta infatti estremamente pericoloso da un
punto di vista dei rischi legali e di reputazione.
— In quest’ottica l’anticipazione dei cambiamenti in ambito normativo e la
preparazione del personale della banca ad affrontare tali cambiamenti dovrebbero
quindi costituire un compito assolutamente prioritario da parte del servizio di
Compliance.
19
20. Gli Approcci Correnti
— Analogamente alla Revisione Interna, la funzione di Compliance ha
accesso illimitato ad ogni aspetto e documento , deve avere un elevato
grado di indipendenza per svolgere le proprie mansioni liberamente. Il
livello di indipendenza richiesto alla Compliance è in pratica pari a
quello dalla Revisione Interna.
— Per garantirne l’indipendenza ed evitare conflitti di interessi, i
dipendenti della funzione di Compliance non possono percepire
retribuzioni dipendenti dal risultato di singoli prodotti o di singole
transazioni.
— L’Istituto deve nominare un membro di Direzione responsabile della
funzione di Compliance, garantendo in questo modo l’accesso diretto
alla Direzione da parte della funzione di Compliance.
20
21. Gli Approcci Correnti
— Il rischio reputazionale è una delle conseguenze implicite nel
rischio di Compliance, come ben illustrato anche dal Comitato di
Basilea.
— Esso è forse uno dei rischi più importanti che una Banca può
subire, sebbene difficilmente quantificabile a priori e di secondo
livello.
— Ma se il rischio di reputazione è importante a livello di singolo
istituto, ancora di più lo è a livello dell’intera piazza finanziaria.
— Non a caso, infatti, uno degli obiettivi primari della Banca d‘Italia
in quanto autorità di vigilanza sul sistema bancario è la
protezione della fiducia del pubblico nel sistema bancario e della
buona fama della piazza Finanziaria
21
22. Gli Approcci Correnti
Alcuni errori da evitare
— Modelli di gestione dei rischi operativi e di compliance
risultano complessi ed articolati
— Per ogni tipologia si sviluppa una classificazione specifica
— Focus è orientato più sull’ infrastruttura tecnologica
— Si da troppa rilevanza degli aspetti formali di conformità
— Prevale un Approccio riduzionista alla tematica
— Si agisce per silos tematici creando frammentazione per
singoli settori normativi e aspetti specifici
22
26. Peculiarità delle tipologie di Rischio
— Confronto fra le tipologie di rischio
— Le Varie tecniche di mitigazione tipiche delle altre categorie di rischio
risultano poco applicabili ai secondi e ancor più a quelli di conformità
26
Rischi finanziari Rischio operativo e di compliance
Assunti consapevolmente Assunto involontariamente
Rischi speculativi Rischio assoluto
Coerenti con logica rischio/rendimento Non coerente con logica rischio/rendimento
Compresi e facilmente identificabili Poco compresi difficili da identificare
Facilmente misurabili e quantificabili Complessi da misurare e quantificare
Disponibilità di strumenti di copertura Pochi strumenti di copertura
Possono essere prezzati e trasferiti Complesso da prezzare e trasferire
27. Proliferazione normativa
— Varo e scadenze di numerose Leggi
¡ IAS-IFRS
¡ Basilea 2 e sistema finanziario
¡ D. Lgs. 231/2001 responsabilità degli enti
¡ Compliance
¡ TUF (Legge. 262/2005) + 154-bis
¡ Riforma del Diritto societario
¡ Anti riciclaggio
¡ Market Abuse
¡ MIFID
¡ Internal dealing
¡ Legge 196/2003 Privacy
¡ Legge 231/2007 Antiriciclaggio
¡ Evoluzione norme tributarie
¡ Legge 626 sicurezza
¡ …..
27
28. Proliferazione normativa (2)
— Regolamenti
— Borsa e mercati regolamentati
— Organismi di vigilanza e controllo
— Certificazione e norme ambientali
— Codici etici e di comportamento
28
29. Complessità in incremento
— Proliferazione all’interno di regolamenti e norme
interne
— Complessità e costo delle funzioni di Mappatura dei
processi.
— Compiti operativi e logici sovrapposti su funzioni
diverse.
— Differenze di compiti spesso difficili da apprezzare.
— Visione parcellizzata dei singoli fenomeni.
— Tendenza a dare risposte solo di tipo formale alle
scadenze.
29
30. Approccio Verticistico
— A varie funzioni corrispondono varie strutture
¡ Comitato Rischi
¡ Organo per la 231
¡ Internal Auditing
¡ Funzione Compliance
¡ Risk manager
¡ Dirigente ex 154bis
¡ Codici etico
¡ .
30
31. Conseguenze
— L'attenzione è distolta dal problema della conformità
e dei rischi da valutare giorno per giorno
— La complessità e la sofisticazione sta creando un
falso livello di percezione
— Si insinua l’idea che conformità e rischi sono un
"problema di altri“
— Si perde la reale percezione del comportamento
intrinsecamente corretto e conforme
31
32. Conseguenze (2)
— Sovrastima delle soluzioni solo tecnologiche
— La sola implementazione di un sistema è
percepita come l'effettivo progresso/obiettivo
— Rischi Operativi e ComplianceTrasversali alla
struttura
— Perdita dea percezione dei fenomeni e della
visione di insieme
32
33. Approccio Nuovo
— Ripartire da una frase guida “Sana e Prudente
Gestione”
— Un sistema e sicuro quando è intrinsecamente sicuro
— Focus su cultura e sensibilità al fattore di rischio
— Obiettivo: assorbimento della Complessità
— Comprensione e interiorizzazione
— Framework di euristiche di indirizzo
— Sistema autopoietico e auto emersione del
comportamento compliance.
33
34. Approccio Nuovo
— Ritorno alla formula originale
— Unificazione delle ridondanze
— Consapevolezza diffusa
— Semplificazione concettuale
— Sviluppare un Framework centrato su business
— Trasversalità della problematica
— Infrastruttura snella e pervasiva
34
35. Approccio Nuovo (2)
— Framework di connessione fra le varie funzioni
— Fascicoli e regolamenti resi "Strumento Vivo di gestione“
— Interiorizzazione e consapevolezza
— Controllo dei fattori strategici di sviluppo
— Sistema di auto controllo e verifica
35
37. Proposta
— Diffusione capillare
— Collegamento secondo le specificità
— Integrazione delle sovrapposizioni
— Framework unitario
— Integrazione con Sistema di Valutazione e Premiante
— Integrazione delle soluzioni
— Sistema proattivo di comunicazione
— Reporting specifico a tutti livelli e di vertice
— Semplificazione operativa
37
38. Proposta
— Obiettivo ”L’assorbimento della Complessità"
— Metodica il Modello bilanciato (BSC)
¡ Aspetti Quantitativi
¡ Aspetti Regolamentarie Organizzativi
¡ Aspetti Formativi
¡ Aspetti di Sviluppo
— Infrastruttura Tecnologica Semplicità
¡ Economia
¡ Flessibilità
¡ Affidabilità
¡ Stato dell'arte
¡ Potenza
38
39. Le linee della proposta
39
Tradizionale Nuovo approccio
Approccio specifico tipo
verticistico
Visione nuova orientata alla
consapevolezza e all’
intrinsicità
Visione riduzionista Visione Olistica dei fenomeni
Dettaglio e parcellizzazione Insiemi correlati
Micro analisi dei processi Macro processi (o meglio dei
flussi di azione)
Regole di dettaglio Principi interiorizzati
40. Sintesi della proposta
— La metodologia
¡ Sviluppo di un framework
integratodelle componenti di
indirizzo e controllo comune e
delle interazioni bilanciatocon
gli obiettivi strategici e il sistema
di autovalutazione proattiva,
Diffusione capillare lungo le linee
di processo
¡ Formazione in Learning by
doing, sviluppo in affiancamento
su tematichespecifiche
¡ Outsourcing for nursery di
sviluppo struttureinterne di
compliance
— Gli strumenti
¡ BSC– portale pervasivo di
integrazione e diffusione
¡ Big Data– sistemi evoluto di
BI e analisi dinamica delle
informazioni strutturate e
destrutturate
¡ Sistemi di analisi semantico-
logica con auto generazione
dell’analisi e la
formalizzazione dei processi
¡ SYSTEM DYNAMICS sistemi
di analisi dinamica
40
42. Come si colloca
— Affinché la Funzione Compliance possa operare efficacemente, è essenziale il coordinamento con
le altre funzioni che presidiano il sistema dei controlli interni, internal audit e risk management.
Per quanto riguarda, in particolare, le relazioni tra internal audit e Compliance, occorre garantire
la reciproca indipendenza delle funzioni, gli ambiti di azione e di responsabilità, i perimetri di
intervento. Ciò al fine di evitare sovrapposizioni e ridondanze nelle attività di controllo e
disallineamenti nei confronti delle Autorità di Vigilanza.
— Dalla mera aderenza a norme e regolamenti esterni, aventi carattere fortemente prescrittivo,
l’orientamento oggi prevalente negli enti regolamentanti (CONSOB) è infatti indirizzato alla
diffusione di una “cultura della conformità” e alla conseguente adozione di codici di condotta
(codici etici, organismo per 231, ..) in grado di garantire “ex ante” i livelli di conformità richiesti
nei confronti di una Normativa sempre meno prescrittiva, che manifesta la volontà, da parte del
legislatore e delle Autorità di Vigilanza, di puntare sull’efficacia complessiva del Sistema di
Compliance, lasciando all’Azienda ampi margini di autonomia della definizione degli aspetti
organizzativi della funzione enella gestionedelle relativeattività.
43. Cosa occorre e come fare?
— L’attenzione va pertanto concentrata sull’analisi dei riflessi organizzativi e tecnologici
della Compliance, ovvero dell’intero insieme delle procedure tecnico organizzative
chiamate a presidiare il rischio di sanzioni, perdite o danni di immagine e reputazione cui
l’Azienda può andare incontro come conseguenza della mancata conformità del suo
comportamento a leggi, regolamenti e codici di condotta di settore esterni e esterni. Tra
questi ultimi assume un rilievo la stessa vision e mission del’impresa specie se declinata
in ogni momento dellecatena del valoredell’impresa.
— L’attività va quindi sviluppata focalizzandosi sulleseguenti tematiche:
— - analisi dell’evoluzione del corpo normativo in relazione al tema della Compliance e
interpretazionedello stesso;
— analisi della Normativa in chiavedi conformità allenormee suoi riflessi organizzativi;
— costituzionedella FunzioneCompliance:
¡ definizionedi principi elinee guida;
¡ identificazionedei modelli organizzativi;
¡ descrizionedel processo di Compliancee relativi flussi informativi;
¡ problematichedi governo dellaCompliance.
— soluzioni applicativeetecnologiche a supporto della Compliance.
44. Alcuni aspetti guida
— La Funzione Compliance è stata definita come funzione che “governa un processo trasversale che consta di
presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne”.
Per tale motivo è una funzione che deve poter entrare nel merito di tute le attività aziendali al pari dell’organo
di controllo.
— Si tratta di una funzione apicale ormai essenziale che si inserisce nel novero del cd. sistema di controllo
interno, ossia l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire,
attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi,
una conduzione dell’impresa sana corretta e coerente con gli obiettivi prefissati.
— Un efficace sistema di controllo interno contribuisce infatti a garantire – si è osservato – la salvaguardia del
patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria
e, non ultimo, il rispetto di leggi e regolamenti (cfr. Borsa Italiana, Codice di Autodisciplina, 2006, e Codice di
Compliance di prossima emissione). La Funzione Compliance si colloca dunque in una cornice sistematica
complessa ed articolata che coinvolge direttamente ed immediatamente i vertici aziendali. Data tale
correlazione tra la funzione e gli amministratori, l’inquadramento di questa da un punto di vista giuridico non
può dunque prescindere dall’introduzione di stakeholder, tanto nuovi quanto numerosi, che hanno
condottoaltrettanto necessariamente ad un aumentodegli interessi rilevanti per l’azione imprenditoriale.
45. Alcuni aspetti guida
— L’azienda è oggi una struttura organizzativa che diventava sempre più complessa ed articolata, e che,
come tale, richiede per il suo funzionamento non più solo decisioni schiettamente operative ma
anche, ed in misura crescente, regolamentazione di carattere più propriamente organizzativo.
— Precisamente davanti a questo tipo di regole il criterio “personalistico” utilizzato nel passato per
distribuire le responsabilità all’interno dell’impresa ha mostrato i suoi limiti, non potendo
fisicamente un amministratore controllare ogni singolo atto organizzativodella struttura.
— Di fronte a quest’incapacità della disciplina di rispondere adeguatamente alla realtà operativa, è
iniziata ad emergere anche nel nostro Paese, sull’esempio di esperienze straniere, anglosassoni ma
non solo, la valorizzazione e soprattutto il riconoscimento positivo della predisposizione di
un’adeguata struttura organizzativa aziendale per l’esercizio dell’impresa. Il parametro dell’azione
corretta viene così concretizzato in uno standard che prescrive modelli di organizzazione aziendale a)
procedimentalizzata e trasparente nel suo svolgimento, b) formalizzata in modo da consentirne
controlli di regolarità (anche) a priori e di efficienza a posteriori
46. Spinte normative
— Il moltiplicarsi degli adempimenti rilevanti, unito alla sostanziale “non delegabilità” dei medesimi da parte
degli amministratori a causa della accennata tendenza giurisprudenziale secondo cui “la condotta omissiva
per affidamento a terzi, lungi dal comportare esclusione da responsabilità, può costituire ammissione
dell’inadempimento dell’obbligo di vigilanza” (Cass. 4 aprile 1998, n .3483, in Giust. civ., 1999, I, 1181), ha
finito per condurre tanto ad eccessi rigoristici, che trasformavano la tradizionale responsabilità per colpa
degli amministratori in responsabilità di posizione (specialmente in presenza di deleghe all’interno del
consiglio di amministrazione); quanto, al contrario, ad ampie zone di impunibilità, basate
sull’insuscettibilità della discrezionalità amministrativa di essere oggetto di un sindacato da parte del
giudice, ma, di fatto, generate anche come reazione all’orientamento troppo rigido appena descritto.
— Con la riforma del diritto delle società di capitali, questa tendenza approda pure nel codice civile,
trasformando “in principio giuridico di carattere “generale” la «adeguatezza» degli assetti interni
dell’impresa. ( cfr. art. 2381, commi terzo e quinto, del codice civile). La nuova disciplina impone agli organi
sociali la predisposizione (da parte degli amministratori delegati: art. 2381, co. 5, c.c.), la valutazione (da
parte del consiglio di amministrazione: art. 2381, co. 3 c.c.), la vigilanza (da parte del collegio sindacale: art.
2403 c.c.) degli assetti organizzativi, amministrativi e contabili, al fine di garantirne l’adeguatezza rispetto
all’attività e alle dimensioni della società. Tale disciplina si impone anche per gli effetti verso gli stakeholder
dell’azienda , si pensi alla maggiore attenzione agli effetti sociali, ambientali, …ecc.
47. Cosa fare ?
— Di conseguenza divengono essenziali tanto una mappatura dei rischi, identificando le aree e i soggetti coinvolti
nelle attività aziendali rilevanti per il valore e il brand e conseguentemente la reputazione , (qui intesa come
valore-credibilità globale), quanto una predisposizione di appositi protocolli per le singole procedure, senza
trascurare poi una fase di verifica dell’efficienza ed adeguatezza di queste per la singola impresa, considerate
sia la dimensione di quest’ultima che la natura dell’attività imprenditoriale svolta. In altre parole, gli
amministratori devono predisporre “un sistema operativo complesso in ogni area dell’attività aziendale
(organizzazione, amministrazione e contabilità, relazioni con il mercato, filiere,…) che consenta di gestire la
società secondo i canoni di corretta amministrazione.
— A tal proposito bene si è osservato che soprattutto con l’art. 2381 c.c. il legislatore non prescrive all’impresa
(soltanto) una data forma o determinati minimi di capitale, ma interviene per incidere sulle concrete modalità
di organizzazione interna dell’attività di impresa, che era campo tradizionalmente lasciato all’autonomia
decisionale dell’imprenditore. Sempre al fine di mitigare i rischi e sensibilizzare la proprietà alla presenza degli
stakeholder interni ma soprattuttoesterni.
53. Gli svantaggi del BSC tradizionale e dell’approccio riduzionista:
Ø non evidenzia le relazioni di feedback tra le variabili che interagiscono nel determinare
la performance aziendale specie nel campo intangibile e nei rischi operativi e legali
Ø Non tiene conto dei ritardi temporali nelle relazioni fra fattori moltiplicativi nelle
determinanti strategiche e nei relativi livelli come nei fattori di innesco dei rischi
reputazionali e strategici
Ø Non sempre supporta adeguatamente i manager nell’individuazione dei segnali deboli
connessi a minacce o opportunità sottostanti al sistema rilevante non rilevanti sotto il
profilo quantitativo ma significativi su quello qualitativo di medio e lungo periodo.
Ø Richiede un’analisi esaustiva dei processi e non consente un auto adeguamento ala
complessità per fasi successive.
La formulazione della strategia in prospettiva sistemica
54. Utilizzo di modelli dinamici integrati con modelli basati su simulatori a supporto del BSC
come nella Dinamica dei Sistemi aiuta i manager a comprendere:
Øle relazioni causali tra le performance contenute nelle variabili interne ed esterne
(reazione degli attori sociali alle strategie aziendali, condizioni geopolitiche, immagine
del brand, impatto di norme, ecc.);
Øle relazioni tra struttura e dinamica del sistema rilevante con i fattori di moltiplicazione
ed evoluzione degli attrattori comportamentali origine di rischi operativi, legali e
reputazionale;
Øi possibili effetti derivanti da scenari alternativi e valutazione di impatto delle
strategie.
ØPossibilità di apprezzare l’evolversi di elementi di comportamento e attese degli
stakeholder dell'impresa lungo tutto l’asse delle sue filiera.
L’APPROCCIO DINAMICO
55. Alcuni concetti utili
— La comprensionedella metodologiproposta
richiedono l’assimilazionepreventiva di alcuni
concetti e la condivisionedi alcuni aspettiinsiti in un
processo e e progettodi compliance.
55
56. Conformità e Etica
— Nel nuovo panorama normativo italiano, delineato anche da direttive quali quelle di emanazione dell'Unione
Europea o nordamericane, i vertici delle aziende di ogni tipo sono alle prese con il compito di garantire che le
attività e i processi gestionali siano conformi ai complessi requisiti di governance. Nei prossimi anni infatti i
vertici delle aziende dovranno affrontare il cambiamento di mentalità introdotto dalle nuove norme volte a
garantire una buona corporate governance e saranno per i prossimi due anni un'importante fonte di distrazione
dalle attività di business.
— Negli anni recenti molte aziende hanno tentato con maggiore o minor fortuna di conformarsi ai vari requisiti,
quasi sempre uno per volta. Ma questo approccio ha spesso portato a iniziative costose e non ben mirate, che
richiedevano continui aggiustamenti. I CEO più avveduti hanno però scoperto che si ottengono risultati migliori
adottanouna visione olistica della conformitàaziendale.
— Anziché considerare ogni normativa come una sfida isolata e a sé stante, i CEO più all'avanguardia ora
richiedono iniziative di conformità secondo un approccio ad ampio spettro, essenzialmente servendosi di
tecniche e processi pluridisciplinari per garantire una copertura generale volta a soddisfarepiù normative.
— Questo è quanto riteniamo che la nostra proposta basata su una visione olistica della conformità sia la migliore
strada per affrontare questa uova sfida alo sviluppo d’impresa: creare al proprio interno, soluzioni organizzative
orientate alla pervasività delle tematiche di Conformità e Etica del business sia per quanto riguarda per le
proprie attività aziendali, che all'esterno, per tutti gli stakeholder dell'impresa.
— Soluzioni di attuazione della compliance che possano essere quindi anche migliorative della performance
aziendale, della gestione dell’identità strategica, della sicurezza e dell‘aderenza agli obiettivi generali di
business.
58. I punti per una strategia
— Le strategie di attuazione della compliance sono però diverse da azienda ad azienda,
ma le iniziative capaci di dare i risultati attesi hanno vari elementi chiave in comune.
Innanzitutto, la conformità non può prescindere da un opportuno investimento
finanziario.
— Alcuni studi stimano che la spesa media destinata all'attuazione della conformità
aumenti di un buon 53% nel corso dei prossimi 12 - 24 mesi. In secondo luogo, la
conformità è una necessità non solo per le Banche, oggi spinte dalla normativa di
vigilanza della Banca d’Italia, da Basilea II e dalla MIFID , ma per tutti i tipi di aziende,
siano esse pubbliche, private, grandi, medie o piccole. Le start up ad azionariato
privato, ad esempio, devono aderire ai criteri COSOB alle nuove norme IAS-IFRS e
devono acquisire conformità a leggi come 231/2001, 196/2003, 262/2005, ed altre
oltre che se peranti nel mercati nordamericani anche a alle norme GAAP (Generally
Accepted Accounting Principles) per agevolare possibili IPO (Initial Public Offering) o
per attirare più facilmente potenziali acquirenti.
61. Prima regola - Iniziare dall'alto
— La prima regola riguarda esclusivamente i dirigenti.
— Senza un coinvolgimento serio e costante del top management dell'azienda, le
iniziative di conformità sono destinate a incontrare difficoltà o al fallimento totale.
Solo con un cambio di mentalità e un impegno costante le banche e le aziende
riusciranno pensare alla compliance più come a un insieme di 'best practices' piuttosto
che come a una semplice 'legge' da osservare.
— In altre parole, prima accettiamo la compliance come una componente necessaria
delle attività di business e prima diverrà una componete del successo nel mercato.
— Il timore, l'ostilità e l'inosservanza della normativa e delle iniziative legate alla
conformità stanno cominciando a lasciare il passo alla cooperazione, al riconoscimento
di opportunità e al rispetto dell'impegno a mantenersi onesti quali valori di reale
crescita e consolidamento aziendale.
63. Seconda regola - Implementare
controlli nel continuo
— Una volta costituito un team di provata esperienza responsabile della
conformità, si passa a documentare e valutare tutte le procedure gestionali.
In questa fase, molte aziende scoprono di avere procedure antiquate o
manuali o peggio corrette e conformi nella forma ma non nella sostanza alle
normative correnti. Questo è il caso più frequente in cui si generano fenomeni
di rischio moltiplicativi come i reputazionali.
— Alcune organizzazioni ad esempio non prevedono una separazione dei
compiti fra personale di vendita, dirigenti finanziari e altri reparti dell'azienda.
— Inizialmente, l'implementazione dei controlli appropriati può sembrare
un'impresa titanica. Ma oggi si possono sfruttare svariati standard
fondamentali come punti di partenza e semplificare così il processo.
65. Quarta regola - Informare
— Naturalmente, qualsiasi misura di controllo aziendale orientata all'implementazione della
conformità non vale nulla senza una comunicazione e una formazione degli utenti adeguate e
continue. Comunicare la filosofia di base di un insieme di norme e una formazione adeguata in
itinere sono le due aree più irte di ostacoli quando si tratta di conformità.
— Pur a fronte del dovuto coinvolgimento del top management e di investimenti sufficienti in
sistemi e tecnologia, la preparazione dei dipendenti in relazione all'importanza del “compliance
way of lif” e nel come utilizzare correttamente gli strumenti a disposizione, sono l'area in cui le
aziende sono spesso più carenti. Il training e il riorientamento culturale sono due dei più
importanti fattori di successo per un'implementazione riuscita della conformità normativa.
— È essenziale far sì che il personale prenda sul serio faccia proprio il problema della conformità.
Spesso le organizzazioni cercano soltanto una soluzione tecnica o formale, dimenticando che
devono convincere i dipendenti di quanto sia importante la conformità e non un “problema di
qualcun altro” ma qualcosa che li riguarda personalmente. In alcuni casi sarà necessario inserire
materiale sulla compliance nei documenti di HR, nelle intranet e nella newsletter elettronica
mensile indirizzata ai dipendenti.