Nuovi approcci e vecchi metodi rivisti alla luce dell'esperienza di un decennio.

1. E L E ME N T I E VO L U T IVI D E L F R AME WO R K
D I GE ST IO N E E C O N T ROL L O IN T E MA D I
C O MPL IAN C E E R ISC HI
L’assorbimento
della complessità

2. — “Nel formulare giudizi, gli antichi Re erano perfetti, perché
facevano dei principi morali il punto di partenza di tutti i
loro impegni e la radice di ogni cosa che era utile. Questo
principio, però, è qualcosa che le persone di intelletto
mediocre non afferrano mai. Non afferrandolo, mancano
di consapevolezza, e mancando di consapevolezza,
inseguono il profitto. Ma mentre inseguono il profitto, è
assolutamente impossibile per loro essere certi di
raggiungerlo”
— Lu Bu-Wei, Primo Ministro Cinese nel 246 a.C

3. 3
— L’accordo di Basilea 2, gli orientamenti di Banca d’Italia e le
nuove norme hanno posto introdotto due nuovi concetti
all’attenzione delle Banche:
§ La Compliance globale,
§ Il Rischio Operativo;
— Il primo lo possiamo definire “Un tema antico” che si
ripropone in veste attuale;
— Il secondo è un elemento nuovo nella comprensione dei
fattori di rischio legati all’operare quotidiano;
— Insieme impongono un nuovo modo di pensare ed agire.

4. “Sana e prudente gestione”
— Un semplice principio a guida del comportamentodel
business nel nuovo millennio:
— Questo semplice principio racchiude in se un
concetto antico e sempre valido cui si devono
ispirare le moderne gestioni di impresa.
— Oggi molta parte dell’attuazione diquesto principio
si estrinsecanellacosiddetta Compliance globale.
— Ovvero Conformità ai principi e alle regole,
comprensionee consapevolezzadei rischi e loro
mitigazione.

5. I
• n altre parole … EVITA CHE LA BANCA E I SUOI AMMINISTRATORI SI TROVINO NEI
GUAI
• In altre parole … FAVORISCE LA QUALITA’ DEL BUSINESS, AUMENTA LA FIDUCIA
DELLA CLIENTELA, PRODUCE VALORE PER LA BANCA
• In altre parole … SOSTIENE I COMPORTAMENTI ETICAMENTE CORRETTI
FAVORENDONE LA DIFFUSIONE, INCREMENTA LA REPUTAZIONE
LA FUNZIONE DI COMPLIANCE

6. Rappresenta un’efficace risposta per ::
LA FUNZIONE DI COMPLIANCE
(es.: attraverso seri codici di condotta, programmi di
formazione mirati, sistemi di valutazione che premino i comportamenti corretti)
(a seguito dell’attività di analisi,
monitoraggio e impulso)
(i collaboratori devono essere
consapevoli dei rischi e capaci di approntare le misure più idonee a fronteggiarli)
(es:
consulenza ai nuovi prodotti, analisi ex ante delle normative di impatto compliance)

7. NON ESISTE UNAFUNZIONE COMPLIANCE “ARCHETIPO” BUONA PER TUTTI
LE DIMENSIONI, LA STRUTTURA INTERNA, L’APPARTENENZA AD UN GRUPPO, IL TIPO DI ATTIVITA’
SVOLTA INCIDONO SUL MODELLO ORGANIZZATIVODI COMPLIANCE DI OGNISINGOLA BANCA
POSSONO INDIVIDUARSI, COMUNQUE, PRINCIPI COMUNI SUI QUALI COSTRUIRE LE BASI DI UNA
EFFICACE ED EFFICIENTE FUNZIONEDI COMPLIANCE
OCCORRE ALLINEARE L’INTERA STRUTTURA ALLA CONSAPEVOLEZA DELLA CONFORMITÀ
OCCORRE INTRODURRE UNA NUOVA METODICA NELLA GESTIONE DEL RISCHIO DI COMPLIANCE DEL
RISCHIO REPUTAZIONALE E DEI RISCHI OPERATIVI IN GENERE
OCCORRE MODIFICARE IL SISTEMA DEI CONTROLLI (PROCESSI AUDITING, LEGALI, RISK MANAGMENT)
PER RISPONDERE ADEGUATAMENTE ALL’ESIGENZA DI UN CONTROLLO FORMATIVO
RICHIEDE UNA VISONE ESTESA DI TIPO OLISTICO PER LA MULTIDISCIPLINARIETÀ DEI TEMI DA
AFFRONTARE
NON PUÒ ASSOLUTAMENTE RISOLVERSI CON UNA SEMPLICE ADESIONE FORMALE A NORME E
REGOLAMENTI MA RCHIEDE L’INTERIORIZZAZIONE DEI PRINCIPICHE LE GENERANO
Alcuni concetti base

8. RESPONSABILITÀ DEGLI ORGANI DI VERTICE E DEL SENIOR
MANAGEMENT
GLI ORGANI DI VERTICE E IL SENIOR MANAGEMENT SONO I RESPONSABILI DEL
PROCESSO DI COMPLIANCE (FORTE COMMITTMENTE E ESEMPIO)
IL CONSIGLIO DI AMMINISTRAZIONE (Consiglio di Sorveglianza per il
modello dualistico), IN QUANTO RESPONSABILE DEL SISTEMA DEI
CONTROLLI INTERNI, E’ ANCHE IL PRINCIPALE RESPONSABILE
DELLE ATTIVITA’ DI COMPLIANCE E QUINDI IL MASSIMO
SUPERVISORE DEI RELATIVI RISCHI
TALE RESPONSABILITÀ IMPLICA NELLA PRATICA I SEGUENTI INTERVENTI:
1. APPROVAZIONE DEL COMPLIANCEPLAN E DEL COMPLIANCEPROGRAM
2. DOTAZIONE DI RISORSE ADEGUATE DA ATTRIBUIRE ALLA STRUTTURA COMPLIANCE
3. INDIVIDUAZIONE DEI FLUSSI INFORMATIVI E DELLE RELATIVE TEMPISTICHE
4. REVISIONE PERIODICA DELLA STRUTTURA DI COMPLIANCE AL FINE DI ASSICURARNE
L’ADEGUATEZZA, L’EFFICACIA E L’EFFICIENZA
Alcuni concetti base

9. IL SENIOR MANAGEMENT E’ RESPONSABILE:
1. DELLA PRESENZA PERMANENTE NELL’ORGANIZZAZIONE AZIENDALE DELLA
FUNZIONE COMPLIANCE
2. DELL’ ATTRIBUZIONE ALLA FUNZIONE DI UN ADEGUATO STATUS FORMALE
3. DELL’EFFETTIVA REALIZZAZIONE DELL’ATTIVITA’ DELLA COMPLIANCE
4. DEL VALORE DELLA COMPLIANCE PERCEPITA DA TUTTA LA STRUTTURA
A TAL FINE CONTRIBUISCE ALLA DEFINIZIONE DEL PROGRAMMA DI COMPLIANCE E
DELLA PIANIFICAZIONEANNUALEDELLE ATTIVITA’, VALUTANDONEL’ADEGUATEZZA
Alcuni concetti base
RESPONSABILITÀ DEGLI ORGANI DI VERTICE E DEL SENIOR
MANAGEMENT

10. IL MANDATO ATTRIBUITO ALLA FUNZIONE DEVE COMPRENDERE ED ESPLICITARE:
1. DEICHIARI OBIETTIVI,PER IL CONSEGUIMENTODEIQUALIDEVONOESSERESPECIFICATE
AMPIEZZA EDAUTORITA’
2. ILLIVELLO DIAUTONOMIA EINDIPENDENZA NONCHE ICANALI DICOMUNICAZIONE
3. L’ATTRIBUZIONE DI AUTOREVOLEZZA FORMALE E SOSTANZIALE, CHE ESPLICITI LA
LEGITTIMAZIONE DELLA FUNZIONE AD INTERVENIRE PER IL SUPERAMENTO DELLE
CRITICITA’ EVIDENZIATE NELPROCESSO DICOMPLIANCE
4. LE MODALITA’ DI DIFFUSIONE, AI FINI DI UN’ADEGUATA CONOSCENZA DEL MANDATO
FRALEALTRE FUNZIONI AZIENDALI
5. INOLTREDEVECOSTITUIREUnadeguatopresidioex-anteairischireputazionaliedistrategia
nonché integrare l’operatività connesse da DL 231/2001 e a tutte le norme di impatto
diretto oindiretto sulla responsabilità dell’ente odella suacredibilità.
Alcuni concetti base

11. LA FUNZIONE DEVE A PROMUOVERE UNA CULTURA DELLA CONFORMITA’ ED A
DIFFONDERE I PRINCIPI E LE NORME DI DEONTOLOGIA, CON PARTICOLARE
RIFERIMENTO AI TEMI DELLA PREVENZIONE AI REATI DI MAGGIORE ALLARME SOCIALE:
RICICLAGGIO E TERRORISMO
CORRUZIONE
USURA
SFRUTTAMENTO
PER GARANTIRE
TRASPARENZA ED INTEGRITÀ DEI MERCATI
OPERAZIONI PERSONALI DEI COLLABORATORI CONFORMI ALLENORME
CORRETTEZZA NELLO SVOLGIMENTO DEI SERVIZI DI INVESTIMENTO
PRESIDIO DI CORRETTEZZA ETICA
Alcuni concetti base

12. LA FUNZIONE CONTRIBUISCE A PROMUOVERE UNA CULTURA DELLA CONFORMITA’
ED A DIFFONDERE I PRINCIPI E LE NORME DI DEONTOLOGIA
PER LA REALIZZAZIONE DI QUESTA ESSENZIALE ATTIVITA’ LA FUNZIONE DEVE SVOLGERE
UNA INCISIVA ATTIVITA’ DI FORMAZIONE E DI SENSIBILIZZAZIONE PER RENDERE I
COLLABORATORI:
CONSAPEVOLI DEI RISCHI DI NON CONFORMITA’
INDOTTI A COMPORTAMENTI CORRETTI E CONFORMI A REGOLE INTERNE ED
ESTERNE
IL RISPETTO DI STANDARD ETICI DA PARTE DEI COLLABORATORI DEVE INCIDERE SULLA
VALUTAZIONE DELLA PRESTAZIONE PROFESSIONALE DEL DIPENDENTE E SUL SISTEMA
PREMIANTE
Alcuni concetti base

13. IL POSIZIONAMENTO ORGANIZZATIVO
LA FUNZIONE DEVE ESSERE INDIPENDENTE DALLE STRUTTURE OPERATIVE
IL MANDATO DEVE CHIARIRE LA GIUSTA DIFFERENZAZIONE DALLE ALTRE
FUNZIONI DI CONTROLLO (in particolare internal audit e risk management),
DEFINENDO ESPLICITAMENTE I RISPETTIVI RUOLI E COMPETENZE ED
EVIDENZIANDO LE POSSIBILI SINERGIE
IL MANDATO DEVE ARMONIZZARE IL PROCESSO “FORMAZIONE E
CONTROLLO” SENZA APPESANTIRE L’OPERATIVITA DELLA BANCA
OCCORRE PASSARE DAL CONTROLLO ATTIVO ALL’AUTOCONTROLLO
PROATTIVO CONDIVISO
Alcuni concetti base

14. LA FUNZIONE DEVE ESSERE DOTATA DI MEZZI E RISORSE ADEGUATE PER
L’EFFICACIA DELLA SUA AZIONE .
In pratica deve poter agire senza condizionamenti e pregiudiziali derivati da
scelte prettamente impostate su una visione di business fine a se stesso ma
deve fare della conformità una componente fondante del valore
complessivo dell’impresa.
L’attuazione di flussi informativi e la predisposizione di specifici processi
formativi devono garantire nel continuo la disponibilità della competenza e
conoscenze necessarie per svolgere le azioni di adeguamento previste dal
mandato
LA FUNZIONE CHIEDE DI CONFORMARSI E CONFORMARE L’OPERATO A DEI
PRINCIPI NON TANTO AD UN NUMERO PIÙ O MENO AMPIO DI REGOLETTE
FORMALI, DEVE PERTANTO POTER AGIRE COME UN “CLERO” DELLA SOCIETÀ
Alcuni concetti base

15. Alcuni concetti base
LA FUNZIONE DI COMPLIANCE GOVERNA UN PROCESSO TRASVERSALE COMPOSTO DA
PRESIDI ORGANIZZATIVI ED OPERATIVI DIRETTI AD EVITARE DISALLINEAMENTI CON
L’INSIEME DELLE REGOLE INTERNE EDESTERNE
LA COMPLIANCE, D’INTESA CON LE ALTRE FUNZIONI CHE COSTITUISCONO IL SISTEMA DEI
CONTROLLI, HA IL COMPITO DI RELAZIONARE SUI RISCHI DI COMPLIANCE IN UNA
VISIONE SISTEMICA E D’INSIEME; (holistic approach)
LA FUNZIONE COLLABORA AL SISTEMA DI PREVENZIONE GLOBALE DEI RISCHI
INDIVIDUANDO IDONEE SOLUZIONIPER LALORO MITIGAZIONE
LA FUNZIONE PONE LE BASI PER LA MITIGAZIONE E LA GESTIONE EX ANTE DEI RISCHI
REPUTAZIONALI COME PREVISTO ANCHE DAL COMITATO DI BASILEA
LA FUNZIONE DEVE CREARE UNA CONSAPEVOLEZZA ALLA CONFORMITÀ FORNENDO
STRUMENTI DI AUTOCONTROLLO E VERIFICA
IL PROCESSO DI COMPLIANCE

16. IL PROCESSO DI COMPLIANCE
I PROCESSI DI COMPLIANCE POSSONO ESSERE SVOLTI:
§ INTERAMENTE DA RISORSE INQUADRATE IN VIA GERARCHICA ED ORGANIZZATIVA NELLA
FUNZIONE COMPLIANCE (modello del clero)
§ IN PARTE ANCHE DA RISORSE APPARTENENTI AD AREE OPERATIVE FORMANDO E DANDOLE UN
INSIEME DI PRINCIPI FACILMENTE VERIFICABILI (concetto di pervasività)
IN PRESENZA DI RISORSE INSERITE NELLE AREE OPERATIVE GLI INTERVENTI DI COMPLIANCE
EFFETTUATI DA TALI RISORSE NELL’AMBITO DELLE RISPETTIVE STRUTTURE DEVONO ESSERE:
§ CONCORDATI PREVENTIVAMENTE CON LA FUNZIONE DI COMPLIANCE E INSERITI NELLA
PIANIFICAZIONE E NEI MECCANISMI DI CONTROLLO DI QUEST’ULTIMA
§ RIPORTATI, UNA VOLTA REALIZZATI, IN APPOSITI FLUSSI INFORMATIVI DESTINATI ALLA
FUNZIONE COMPLIANCE E SOTTOPOSTI AL SUO GIUDIZIO; IN CASO DI GIUDIZIO NEGATIVO LA
FUNZIONE PUÒ RICHIEDERE INTERVENTI INTEGRATIVI
§NEL TEMPO MOLTI DEI CONTROLLI DI CONFORMITA’ DOVRANNO ESSERE PARTE INTEGRANTE E
INTEGRALE DEI SITEMI OPERATIVI DI GESTIONE
Alcuni concetti base

17. LE TECNICHE DI IDENTIFICAZIONE, GESTIONE E
MONITORAGGIO DEI RISCHI DI COMPLIANCE DEVONO ESSERE
ALLINEATE E COERENTI CON QUELLE DEI DUE ALTRI CARDINI
DEL SISTEMA DI CONTROLLO RISK MANAGEMENT E AUDIT
L’UTILIZZO DI TALI TECNICHE PRESERVA LA REPUTAZIONE
AZIENDALE E CONSOLIDA LE RELAZIONI FIDUCIARIE CON LA
CLIENTELA INTERRELANDOSI ANCHE CON LA C.S.R.
TALI TECNICHE SUL PIANO OPERATIVO DEVONO INTEGRARSI
PIU CON LE PROBLEMATICHE DEI COSIDETTI RISCHI OPERATIVI
CHE GLI ALTRI TIPI DI RISCHIO
INTERAZIONE CON ALTRI RUOLI

18. Nuove esperienze
Dalla Gestione dei rischi , dall’evoluzione dei sistemi di Performance management (CdG)
e dalle moderne tecniche di Auditing emergono alcune considerazioni.
— L’esame delle esperienze maturate nella tematica globale dei rischi impongono una
fase di riflessione sull’approccio sino ad oggi adottato: un problema una soluzione.
— La domanda di una “consapevolezza dei rischi insiti in ogni aspetto dell’attività di
un’impresa” e delle banche in particolare, emerge da una pluralità di leggi, stimoli e
dall’esperienza quotidiana e richiede la capacità di una visione d’insieme.
— Che a questo si debba associare anche un agire intrinsecamente corretto (o etico) è
ancora più evidente, ma implica un salto culturale.
— Gli strumenti a supporto devono essere di tipo proattivo e integrati trasversalmente
all’intera struttura dei processi.
— Il proliferare delle norme e dei regolamenti richiede una riduzione della complessità,
frutto dell’approccio riduzionista, a favore di un nuovo approcci di tipo olistico.
— Da queste premesse parte la nostra proposta o fase due della Conformità
d’Impresa.
18

19. Gli Approcci Correnti
— A livello di filosofia del Compliance esistono due concezioni di base molto differenti
tra loro. La prima, di origine anglosassone, vede il Compliance come controllore e
quasi “poliziotto”, che rileva e punisce le infrazioni rilevate.
— La seconda, più moderna, vuole un Compliance che, pur controllando il rispetto
delle normative, si pone come un consulente interno della Direzione e del personale.
Dalle esperienze fatte nella pratica si è riscontrato chiaramente che la prima
concezione è svantaggiosa in quanto l’instaurazione di un clima di diffidenza e
timore sfavorisce la collaborazione costruttiva e lo scambio aperto e trasparente di
informazioni.
— Rientra nella concezione più attuale della Compliance il fatto di adottare un
approccio ex-ante, ovvero preventivo, anziché un approccio di limitazione dei danni
ex-post.
— Questo secondo tipo di approccio risulta infatti estremamente pericoloso da un
punto di vista dei rischi legali e di reputazione.
— In quest’ottica l’anticipazione dei cambiamenti in ambito normativo e la
preparazione del personale della banca ad affrontare tali cambiamenti dovrebbero
quindi costituire un compito assolutamente prioritario da parte del servizio di
Compliance.
19

20. Gli Approcci Correnti
— Analogamente alla Revisione Interna, la funzione di Compliance ha
accesso illimitato ad ogni aspetto e documento , deve avere un elevato
grado di indipendenza per svolgere le proprie mansioni liberamente. Il
livello di indipendenza richiesto alla Compliance è in pratica pari a
quello dalla Revisione Interna.
— Per garantirne l’indipendenza ed evitare conflitti di interessi, i
dipendenti della funzione di Compliance non possono percepire
retribuzioni dipendenti dal risultato di singoli prodotti o di singole
transazioni.
— L’Istituto deve nominare un membro di Direzione responsabile della
funzione di Compliance, garantendo in questo modo l’accesso diretto
alla Direzione da parte della funzione di Compliance.
20

21. Gli Approcci Correnti
— Il rischio reputazionale è una delle conseguenze implicite nel
rischio di Compliance, come ben illustrato anche dal Comitato di
Basilea.
— Esso è forse uno dei rischi più importanti che una Banca può
subire, sebbene difficilmente quantificabile a priori e di secondo
livello.
— Ma se il rischio di reputazione è importante a livello di singolo
istituto, ancora di più lo è a livello dell’intera piazza finanziaria.
— Non a caso, infatti, uno degli obiettivi primari della Banca d‘Italia
in quanto autorità di vigilanza sul sistema bancario è la
protezione della fiducia del pubblico nel sistema bancario e della
buona fama della piazza Finanziaria
21

22. Gli Approcci Correnti
Alcuni errori da evitare
— Modelli di gestione dei rischi operativi e di compliance
risultano complessi ed articolati
— Per ogni tipologia si sviluppa una classificazione specifica
— Focus è orientato più sull’ infrastruttura tecnologica
— Si da troppa rilevanza degli aspetti formali di conformità
— Prevale un Approccio riduzionista alla tematica
— Si agisce per silos tematici creando frammentazione per
singoli settori normativi e aspetti specifici
22

23. Modelli Scenario
— Cresce la complessità dei modelli predittivi e di
rappresentazione secondo le dimensioni della banca, la
problematica e l’evoluzione culturale:
— Modelli per la previsione degli eventi quali i RO ad Es.
¡ Serie storiche – approccio più diffuso
¡ Montecarlo – applicato nei modelli AMA
¡ Reti di Bayes – presente nelle best pratices
¡ la nuova frontiera
¡ Tamburi Quantici
¡ Modelli dinamici e motori semantici.
23

24. COMPLESSITA’
REGOLAMENTARE
NORME DI
AUTOREGOLAMENTAZIONE
CONFLITTID’INTERESSE
MARKET ABUSE
RICICLAGGIO/TERRORISMO
TRASVERSALITA’ DEI
PROCESSI
NUOVIPROGETTI
CRESCENTE SOFISTICAZIONEDELLE
OPERAZIONIE DEI PRODOTTI
FINANZIARI
GLOBALIZZAZIONEFINANZIARIA
INTEGRAZIONI, FUSIONI,
ACQUISIZIONISOCIETARIE
COMPLESSITA’
DIMENSIONALE
COMPLESSITA’
OPERATIVA
COMPLESSITA’
GESTIONALE
QUADRO DI RIFERIMENTO
T
E
M
P
O
LA COMPLESSITA’

25. QUADRO DI RIFERIMENTO
CONDOTTA ETICA
T
U
T
E
L
A
INTERESSI DEGLI
STAKEHOLDER
INTERESSI DEGLI
SHAREHOLDER
FIDUCIA DEGLI
INVESTITORI
COORDINAMENTO DEI DIVERSI INTERESSI
DI: CLIENTI , DIPENDENTI, FORNITORI,
COMUNITA’ SOCIALE
CONSOLIDAMENTO NEL TEMPO DEL
VALORE DELL’INVESTIMENTO
DELL’AZIONISTA
CREAZIONE DI VALORE
E RITORNI
REPUTAZIONALI
SOSTENIBILITA’ DEI
COMPORTAMENTI
ECONOMICI CON I VALORI
SOCIALI
LA RESPONSABILITA’

26. Peculiarità delle tipologie di Rischio
— Confronto fra le tipologie di rischio
— Le Varie tecniche di mitigazione tipiche delle altre categorie di rischio
risultano poco applicabili ai secondi e ancor più a quelli di conformità
26
Rischi finanziari Rischio operativo e di compliance
Assunti consapevolmente Assunto involontariamente
Rischi speculativi Rischio assoluto
Coerenti con logica rischio/rendimento Non coerente con logica rischio/rendimento
Compresi e facilmente identificabili Poco compresi difficili da identificare
Facilmente misurabili e quantificabili Complessi da misurare e quantificare
Disponibilità di strumenti di copertura Pochi strumenti di copertura
Possono essere prezzati e trasferiti Complesso da prezzare e trasferire

27. Proliferazione normativa
— Varo e scadenze di numerose Leggi
¡ IAS-IFRS
¡ Basilea 2 e sistema finanziario
¡ D. Lgs. 231/2001 responsabilità degli enti
¡ Compliance
¡ TUF (Legge. 262/2005) + 154-bis
¡ Riforma del Diritto societario
¡ Anti riciclaggio
¡ Market Abuse
¡ MIFID
¡ Internal dealing
¡ Legge 196/2003 Privacy
¡ Legge 231/2007 Antiriciclaggio
¡ Evoluzione norme tributarie
¡ Legge 626 sicurezza
¡ …..
27

28. Proliferazione normativa (2)
— Regolamenti
— Borsa e mercati regolamentati
— Organismi di vigilanza e controllo
— Certificazione e norme ambientali
— Codici etici e di comportamento
28

29. Complessità in incremento
— Proliferazione all’interno di regolamenti e norme
interne
— Complessità e costo delle funzioni di Mappatura dei
processi.
— Compiti operativi e logici sovrapposti su funzioni
diverse.
— Differenze di compiti spesso difficili da apprezzare.
— Visione parcellizzata dei singoli fenomeni.
— Tendenza a dare risposte solo di tipo formale alle
scadenze.
29

30. Approccio Verticistico
— A varie funzioni corrispondono varie strutture
¡ Comitato Rischi
¡ Organo per la 231
¡ Internal Auditing
¡ Funzione Compliance
¡ Risk manager
¡ Dirigente ex 154bis
¡ Codici etico
¡ .
30

31. Conseguenze
— L'attenzione è distolta dal problema della conformità
e dei rischi da valutare giorno per giorno
— La complessità e la sofisticazione sta creando un
falso livello di percezione
— Si insinua l’idea che conformità e rischi sono un
"problema di altri“
— Si perde la reale percezione del comportamento
intrinsecamente corretto e conforme
31

32. Conseguenze (2)
— Sovrastima delle soluzioni solo tecnologiche
— La sola implementazione di un sistema è
percepita come l'effettivo progresso/obiettivo
— Rischi Operativi e ComplianceTrasversali alla
struttura
— Perdita dea percezione dei fenomeni e della
visione di insieme
32

33. Approccio Nuovo
— Ripartire da una frase guida “Sana e Prudente
Gestione”
— Un sistema e sicuro quando è intrinsecamente sicuro
— Focus su cultura e sensibilità al fattore di rischio
— Obiettivo: assorbimento della Complessità
— Comprensione e interiorizzazione
— Framework di euristiche di indirizzo
— Sistema autopoietico e auto emersione del
comportamento compliance.
33

34. Approccio Nuovo
— Ritorno alla formula originale
— Unificazione delle ridondanze
— Consapevolezza diffusa
— Semplificazione concettuale
— Sviluppare un Framework centrato su business
— Trasversalità della problematica
— Infrastruttura snella e pervasiva
34

35. Approccio Nuovo (2)
— Framework di connessione fra le varie funzioni
— Fascicoli e regolamenti resi "Strumento Vivo di gestione“
— Interiorizzazione e consapevolezza
— Controllo dei fattori strategici di sviluppo
— Sistema di auto controllo e verifica
35

36. LA GESTIONE DELLA COMPLIANCE
U N A P R OP OS TA P E R L A G E S T I ON E OP E R AT I VA G L OB A L E
D E L L A P R OB L E M ATI CA

37. Proposta
— Diffusione capillare
— Collegamento secondo le specificità
— Integrazione delle sovrapposizioni
— Framework unitario
— Integrazione con Sistema di Valutazione e Premiante
— Integrazione delle soluzioni
— Sistema proattivo di comunicazione
— Reporting specifico a tutti livelli e di vertice
— Semplificazione operativa
37

38. Proposta
— Obiettivo ”L’assorbimento della Complessità"
— Metodica il Modello bilanciato (BSC)
¡ Aspetti Quantitativi
¡ Aspetti Regolamentarie Organizzativi
¡ Aspetti Formativi
¡ Aspetti di Sviluppo
— Infrastruttura Tecnologica Semplicità
¡ Economia
¡ Flessibilità
¡ Affidabilità
¡ Stato dell'arte
¡ Potenza
38

39. Le linee della proposta
39
Tradizionale Nuovo approccio
Approccio specifico tipo
verticistico
Visione nuova orientata alla
consapevolezza e all’
intrinsicità
Visione riduzionista Visione Olistica dei fenomeni
Dettaglio e parcellizzazione Insiemi correlati
Micro analisi dei processi Macro processi (o meglio dei
flussi di azione)
Regole di dettaglio Principi interiorizzati

40. Sintesi della proposta
— La metodologia
¡ Sviluppo di un framework
integratodelle componenti di
indirizzo e controllo comune e
delle interazioni bilanciatocon
gli obiettivi strategici e il sistema
di autovalutazione proattiva,
Diffusione capillare lungo le linee
di processo
¡ Formazione in Learning by
doing, sviluppo in affiancamento
su tematichespecifiche
¡ Outsourcing for nursery di
sviluppo struttureinterne di
compliance
— Gli strumenti
¡ BSC– portale pervasivo di
integrazione e diffusione
¡ Big Data– sistemi evoluto di
BI e analisi dinamica delle
informazioni strutturate e
destrutturate
¡ Sistemi di analisi semantico-
logica con auto generazione
dell’analisi e la
formalizzazione dei processi
¡ SYSTEM DYNAMICS sistemi
di analisi dinamica
40

41. Cosa é la compliance in azienda
— Negli ultimi anni si è assistito a un progressivo aumento della sensibilità della clientela nei
confronti del livello di affidabilità globale delle Imprese. Ciò ha imposto la creazione di un
contesto nel quale sia possibile generare valore e presidiare nel contempo i rischi di maggiore
impatto, sia mediante strumenti convenzionali di gestione del rischio nelle sue varie forme sia
tramite l’implementazione di strutture e presidi organizzativi dedicati, orientati al controllo dei
cosiddetti rischi di compliance, legali e reputazionali, e di strategia con l’obiettivo di garantire la
conformità dei processi alle norme e mitigare gli effetti reputazionali di tali categorie di rischio.
— Sebbene il rispetto della normativa sia essenziale, per creare valore è altresì necessario adottare
una strategia volta a consolidare le relazioni fiduciarie con gli stakeholder di riferimento,
finalizzata cioè a rendere visibile la responsabilità sociale d’impresa. Tale compito è assegnato alla
Funzione Compliance, la quale è preposta a garantire la mitigazione del rischio reputazionale al
quale è soggetto l’intermediario, tramite una sana e prudente gestione d’impresa.

42. Come si colloca
— Affinché la Funzione Compliance possa operare efficacemente, è essenziale il coordinamento con
le altre funzioni che presidiano il sistema dei controlli interni, internal audit e risk management.
Per quanto riguarda, in particolare, le relazioni tra internal audit e Compliance, occorre garantire
la reciproca indipendenza delle funzioni, gli ambiti di azione e di responsabilità, i perimetri di
intervento. Ciò al fine di evitare sovrapposizioni e ridondanze nelle attività di controllo e
disallineamenti nei confronti delle Autorità di Vigilanza.
— Dalla mera aderenza a norme e regolamenti esterni, aventi carattere fortemente prescrittivo,
l’orientamento oggi prevalente negli enti regolamentanti (CONSOB) è infatti indirizzato alla
diffusione di una “cultura della conformità” e alla conseguente adozione di codici di condotta
(codici etici, organismo per 231, ..) in grado di garantire “ex ante” i livelli di conformità richiesti
nei confronti di una Normativa sempre meno prescrittiva, che manifesta la volontà, da parte del
legislatore e delle Autorità di Vigilanza, di puntare sull’efficacia complessiva del Sistema di
Compliance, lasciando all’Azienda ampi margini di autonomia della definizione degli aspetti
organizzativi della funzione enella gestionedelle relativeattività.

43. Cosa occorre e come fare?
— L’attenzione va pertanto concentrata sull’analisi dei riflessi organizzativi e tecnologici
della Compliance, ovvero dell’intero insieme delle procedure tecnico organizzative
chiamate a presidiare il rischio di sanzioni, perdite o danni di immagine e reputazione cui
l’Azienda può andare incontro come conseguenza della mancata conformità del suo
comportamento a leggi, regolamenti e codici di condotta di settore esterni e esterni. Tra
questi ultimi assume un rilievo la stessa vision e mission del’impresa specie se declinata
in ogni momento dellecatena del valoredell’impresa.
— L’attività va quindi sviluppata focalizzandosi sulleseguenti tematiche:
— - analisi dell’evoluzione del corpo normativo in relazione al tema della Compliance e
interpretazionedello stesso;
— analisi della Normativa in chiavedi conformità allenormee suoi riflessi organizzativi;
— costituzionedella FunzioneCompliance:
¡ definizionedi principi elinee guida;
¡ identificazionedei modelli organizzativi;
¡ descrizionedel processo di Compliancee relativi flussi informativi;
¡ problematichedi governo dellaCompliance.
— soluzioni applicativeetecnologiche a supporto della Compliance.

44. Alcuni aspetti guida
— La Funzione Compliance è stata definita come funzione che “governa un processo trasversale che consta di
presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne”.
Per tale motivo è una funzione che deve poter entrare nel merito di tute le attività aziendali al pari dell’organo
di controllo.
— Si tratta di una funzione apicale ormai essenziale che si inserisce nel novero del cd. sistema di controllo
interno, ossia l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire,
attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei principali rischi,
una conduzione dell’impresa sana corretta e coerente con gli obiettivi prefissati.
— Un efficace sistema di controllo interno contribuisce infatti a garantire – si è osservato – la salvaguardia del
patrimonio sociale, l’efficienza e l’efficacia delle operazioni aziendali, l’affidabilità dell’informazione finanziaria
e, non ultimo, il rispetto di leggi e regolamenti (cfr. Borsa Italiana, Codice di Autodisciplina, 2006, e Codice di
Compliance di prossima emissione). La Funzione Compliance si colloca dunque in una cornice sistematica
complessa ed articolata che coinvolge direttamente ed immediatamente i vertici aziendali. Data tale
correlazione tra la funzione e gli amministratori, l’inquadramento di questa da un punto di vista giuridico non
può dunque prescindere dall’introduzione di stakeholder, tanto nuovi quanto numerosi, che hanno
condottoaltrettanto necessariamente ad un aumentodegli interessi rilevanti per l’azione imprenditoriale.

45. Alcuni aspetti guida
— L’azienda è oggi una struttura organizzativa che diventava sempre più complessa ed articolata, e che,
come tale, richiede per il suo funzionamento non più solo decisioni schiettamente operative ma
anche, ed in misura crescente, regolamentazione di carattere più propriamente organizzativo.
— Precisamente davanti a questo tipo di regole il criterio “personalistico” utilizzato nel passato per
distribuire le responsabilità all’interno dell’impresa ha mostrato i suoi limiti, non potendo
fisicamente un amministratore controllare ogni singolo atto organizzativodella struttura.
— Di fronte a quest’incapacità della disciplina di rispondere adeguatamente alla realtà operativa, è
iniziata ad emergere anche nel nostro Paese, sull’esempio di esperienze straniere, anglosassoni ma
non solo, la valorizzazione e soprattutto il riconoscimento positivo della predisposizione di
un’adeguata struttura organizzativa aziendale per l’esercizio dell’impresa. Il parametro dell’azione
corretta viene così concretizzato in uno standard che prescrive modelli di organizzazione aziendale a)
procedimentalizzata e trasparente nel suo svolgimento, b) formalizzata in modo da consentirne
controlli di regolarità (anche) a priori e di efficienza a posteriori

46. Spinte normative
— Il moltiplicarsi degli adempimenti rilevanti, unito alla sostanziale “non delegabilità” dei medesimi da parte
degli amministratori a causa della accennata tendenza giurisprudenziale secondo cui “la condotta omissiva
per affidamento a terzi, lungi dal comportare esclusione da responsabilità, può costituire ammissione
dell’inadempimento dell’obbligo di vigilanza” (Cass. 4 aprile 1998, n .3483, in Giust. civ., 1999, I, 1181), ha
finito per condurre tanto ad eccessi rigoristici, che trasformavano la tradizionale responsabilità per colpa
degli amministratori in responsabilità di posizione (specialmente in presenza di deleghe all’interno del
consiglio di amministrazione); quanto, al contrario, ad ampie zone di impunibilità, basate
sull’insuscettibilità della discrezionalità amministrativa di essere oggetto di un sindacato da parte del
giudice, ma, di fatto, generate anche come reazione all’orientamento troppo rigido appena descritto.
— Con la riforma del diritto delle società di capitali, questa tendenza approda pure nel codice civile,
trasformando “in principio giuridico di carattere “generale” la «adeguatezza» degli assetti interni
dell’impresa. ( cfr. art. 2381, commi terzo e quinto, del codice civile). La nuova disciplina impone agli organi
sociali la predisposizione (da parte degli amministratori delegati: art. 2381, co. 5, c.c.), la valutazione (da
parte del consiglio di amministrazione: art. 2381, co. 3 c.c.), la vigilanza (da parte del collegio sindacale: art.
2403 c.c.) degli assetti organizzativi, amministrativi e contabili, al fine di garantirne l’adeguatezza rispetto
all’attività e alle dimensioni della società. Tale disciplina si impone anche per gli effetti verso gli stakeholder
dell’azienda , si pensi alla maggiore attenzione agli effetti sociali, ambientali, …ecc.

47. Cosa fare ?
— Di conseguenza divengono essenziali tanto una mappatura dei rischi, identificando le aree e i soggetti coinvolti
nelle attività aziendali rilevanti per il valore e il brand e conseguentemente la reputazione , (qui intesa come
valore-credibilità globale), quanto una predisposizione di appositi protocolli per le singole procedure, senza
trascurare poi una fase di verifica dell’efficienza ed adeguatezza di queste per la singola impresa, considerate
sia la dimensione di quest’ultima che la natura dell’attività imprenditoriale svolta. In altre parole, gli
amministratori devono predisporre “un sistema operativo complesso in ogni area dell’attività aziendale
(organizzazione, amministrazione e contabilità, relazioni con il mercato, filiere,…) che consenta di gestire la
società secondo i canoni di corretta amministrazione.
— A tal proposito bene si è osservato che soprattutto con l’art. 2381 c.c. il legislatore non prescrive all’impresa
(soltanto) una data forma o determinati minimi di capitale, ma interviene per incidere sulle concrete modalità
di organizzazione interna dell’attività di impresa, che era campo tradizionalmente lasciato all’autonomia
decisionale dell’imprenditore. Sempre al fine di mitigare i rischi e sensibilizzare la proprietà alla presenza degli
stakeholder interni ma soprattuttoesterni.

48. Il processo di Compliance 1
Il Processo di Compliance è costituito dai seguenti sotto-processi / fasi:
— C1. Individuazione e applicazione della normativa
— C1.1 Individuazione della Normativa
— C1.2 Assessment
— C1.3 Traduzione della Normativa in un corpo di regole
— C1.4 Definizione della struttura di relazioni a supporto delle regole
— C1.5 Definizione delle procedure operative

49. Il processo di Compliance 2
— C2. Comunicazione e formazione sulla normativa
— C2.1 Sensibilizzazione sul tema della Compliance
— C2.2 Comunicazione sulla Normativa
— C2.3 Formazione del personale sulla Normativa
— C3. Monitoraggio sull’applicazione della normativa
— C3.1 Definizione delle procedure per le verifiche di conformità
— C3.2 Controlli sull’applicazione delle procedure operative
— C3.3 Controlli sull’efficacia delle regole e procedure operative
— C3.4 Autocertificazione (self-assessment)

50. Il processo di Compliance 3
— C4. Impostazione di un sistema di reporting e gestione delle notifiche
periodiche
— C4.1 Notifiche periodiche agli Organi di Vertice
— C4.2 Reporting lungo i vari livelli di responsabilità (quadri bilanciati)
— C5. Gestione delle anomalie di compliance e relative notifiche
— C5.1 Acquisizione e risoluzione proattiva dell’anomalia
— C5.2 Notifiche di non compliance agli Organi di Vertice
— C5.3 Piani di adeguamento

51. — N.B.
— slide sulla tecnologia di gestione dei processi come flusso
su portale (vedere es. QPR su rischi operativi )

52. I vantaggi dell’approccio a quadri informativi bilanciati :
Ø Supporta i manager e ogni tipologia di owner nel controllo della performance
aziendale bilanciando gli indicatori quantitativi e qualitativi legati ai processi.
Ø Sviluppa la Visione della tendenza di fattori chiave ad ogni livello di
responsabilità,
Ø Stimola una visione comune e la consapevolezza del proprio ruolo nella
strategia aziendale.
Ø Consente la comunicazione nei due sensi top <> down per ogni elemento
lungo la filiera di processi interni ed esterni, con la sintesi ad ogni ivello di
aggregazione di responsabilità
Ø Evita che il miglioramento dei risultati in un’area avvenga a spese della
performance e del rispetto dei fattori chiave in altre aree.
La formulazione della strategia in prospettiva sistemica

53. Gli svantaggi del BSC tradizionale e dell’approccio riduzionista:
Ø non evidenzia le relazioni di feedback tra le variabili che interagiscono nel determinare
la performance aziendale specie nel campo intangibile e nei rischi operativi e legali
Ø Non tiene conto dei ritardi temporali nelle relazioni fra fattori moltiplicativi nelle
determinanti strategiche e nei relativi livelli come nei fattori di innesco dei rischi
reputazionali e strategici
Ø Non sempre supporta adeguatamente i manager nell’individuazione dei segnali deboli
connessi a minacce o opportunità sottostanti al sistema rilevante non rilevanti sotto il
profilo quantitativo ma significativi su quello qualitativo di medio e lungo periodo.
Ø Richiede un’analisi esaustiva dei processi e non consente un auto adeguamento ala
complessità per fasi successive.
La formulazione della strategia in prospettiva sistemica

54. Utilizzo di modelli dinamici integrati con modelli basati su simulatori a supporto del BSC
come nella Dinamica dei Sistemi aiuta i manager a comprendere:
Øle relazioni causali tra le performance contenute nelle variabili interne ed esterne
(reazione degli attori sociali alle strategie aziendali, condizioni geopolitiche, immagine
del brand, impatto di norme, ecc.);
Øle relazioni tra struttura e dinamica del sistema rilevante con i fattori di moltiplicazione
ed evoluzione degli attrattori comportamentali origine di rischi operativi, legali e
reputazionale;
Øi possibili effetti derivanti da scenari alternativi e valutazione di impatto delle
strategie.
ØPossibilità di apprezzare l’evolversi di elementi di comportamento e attese degli
stakeholder dell'impresa lungo tutto l’asse delle sue filiera.
L’APPROCCIO DINAMICO

55. Alcuni concetti utili
— La comprensionedella metodologiproposta
richiedono l’assimilazionepreventiva di alcuni
concetti e la condivisionedi alcuni aspettiinsiti in un
processo e e progettodi compliance.
55

56. Conformità e Etica
— Nel nuovo panorama normativo italiano, delineato anche da direttive quali quelle di emanazione dell'Unione
Europea o nordamericane, i vertici delle aziende di ogni tipo sono alle prese con il compito di garantire che le
attività e i processi gestionali siano conformi ai complessi requisiti di governance. Nei prossimi anni infatti i
vertici delle aziende dovranno affrontare il cambiamento di mentalità introdotto dalle nuove norme volte a
garantire una buona corporate governance e saranno per i prossimi due anni un'importante fonte di distrazione
dalle attività di business.
— Negli anni recenti molte aziende hanno tentato con maggiore o minor fortuna di conformarsi ai vari requisiti,
quasi sempre uno per volta. Ma questo approccio ha spesso portato a iniziative costose e non ben mirate, che
richiedevano continui aggiustamenti. I CEO più avveduti hanno però scoperto che si ottengono risultati migliori
adottanouna visione olistica della conformitàaziendale.
— Anziché considerare ogni normativa come una sfida isolata e a sé stante, i CEO più all'avanguardia ora
richiedono iniziative di conformità secondo un approccio ad ampio spettro, essenzialmente servendosi di
tecniche e processi pluridisciplinari per garantire una copertura generale volta a soddisfarepiù normative.
— Questo è quanto riteniamo che la nostra proposta basata su una visione olistica della conformità sia la migliore
strada per affrontare questa uova sfida alo sviluppo d’impresa: creare al proprio interno, soluzioni organizzative
orientate alla pervasività delle tematiche di Conformità e Etica del business sia per quanto riguarda per le
proprie attività aziendali, che all'esterno, per tutti gli stakeholder dell'impresa.
— Soluzioni di attuazione della compliance che possano essere quindi anche migliorative della performance
aziendale, della gestione dell’identità strategica, della sicurezza e dell‘aderenza agli obiettivi generali di
business.

57. I punti per una strategia
Una strategia olistica di successo è caratterizzata da sei requisiti essenziali:
— 1. Un deciso coinvolgimento del management esecutivo
— 2. Opportuni sistemi di diffusone pervasiva e controllo aziendale
— 3. Verifiche nel continuo e on episodiche anche se regolari
— 4. Formazione ad ampio spettro e comunicazioni regolari
— 5. Meccanismi operativi di feedback che coinvolgano i dipendenti nel
quotidiano
— 6. Piani d'azione correttivi e disciplinari efficaci destinati a risolvere le
inosservanze in materia di conformità
Occorre ricordare che il temine CONFORMITA’ in italiano ha un significato più ricco e
completo rispetto a quello anglosassone compliance comunemente usato. Conformare
significa anche “. Prendere la forma , conformarsi in ogni aspetto al modello cui aderire, “
quindi conformità implica la capacità di aderire in ogni piega a qualcosa che può
dinamicamente modificarsi .

58. I punti per una strategia
— Le strategie di attuazione della compliance sono però diverse da azienda ad azienda,
ma le iniziative capaci di dare i risultati attesi hanno vari elementi chiave in comune.
Innanzitutto, la conformità non può prescindere da un opportuno investimento
finanziario.
— Alcuni studi stimano che la spesa media destinata all'attuazione della conformità
aumenti di un buon 53% nel corso dei prossimi 12 - 24 mesi. In secondo luogo, la
conformità è una necessità non solo per le Banche, oggi spinte dalla normativa di
vigilanza della Banca d’Italia, da Basilea II e dalla MIFID , ma per tutti i tipi di aziende,
siano esse pubbliche, private, grandi, medie o piccole. Le start up ad azionariato
privato, ad esempio, devono aderire ai criteri COSOB alle nuove norme IAS-IFRS e
devono acquisire conformità a leggi come 231/2001, 196/2003, 262/2005, ed altre
oltre che se peranti nel mercati nordamericani anche a alle norme GAAP (Generally
Accepted Accounting Principles) per agevolare possibili IPO (Initial Public Offering) o
per attirare più facilmente potenziali acquirenti.

59. I punti per una strategia
— Inoltre, le società a capitale privato e le società non statunitensi devono spesso dar prova della
loro conformità normativa per poter intrattenere relazioni commerciali con grandi società
quotate in borsa che vogliono garantire a tutti i propri soci operazioni commerciali trasparenti. In
terzo luogo, la compliance presuppone un'efficace collaborazione in particolare fra CEO, CFO, CIO,
consulenti legali e Chief Compliance Officer di un'azienda, ma in generale fra tutti i dirigenti.
— Questo livello trasversale di comunicazione è essenziale, perché la definizione di conformità
aziendale continua a cambiare. I dirigenti inoltre ricevono spesso pareri e indicazioni
contraddittorie dai vari revisori. Le normative internazionali sono spesso in contrasto fra loro.
L'imminenza della scadenza dell'adeguamento alle normative e gli impegni di business, poi induce
le organizzazioni a cercare delle scorciatoie, come ad esempio documentare un processo
gestionale superato, anziché soluzioni efficaci nel lungo periodo, come l'automazione di tali
processi.
— Adottando una visione olistica della conformità, le organizzazioni possono vincere queste sfide e
adeguarsi in modo più efficace alle nuove normative che si profilano all'orizzonte

60. Alcune regole verso la conformità
— 1. Dare l'esempio. La conformità normativa inizia dai vertici. Il management deve prendere sul
serio e ritenersi responsabile dell'attuazione della compliance e agire di conseguenza.
— 2. Implementare nel continuo controlli appropriati. Adottare processi e procedure adeguati per
proteggere le attività dell'azienda da danni accidentali o intenzionali.
— 3. Svolgere i controlli con continuità e regolarità. Rivedere le procedure di controllo con cadenza
regolare e rafforzare quanto prima gli anelli più deboli della catena.
— 4. Formare e comunicare con regolarità. Informare i dipendenti su ciò che ci si attende da loro
per mezzo di comunicazioni proattive in forma elettronica, da e verso i vertici e lungo la filiera di
processo.
— 5. Dare ascolto alle critiche. Predisporre un processo che permetta ai dipendenti lungo un
processo di esprimere le proprie preoccupazioni senza timore di conseguenze.
— 6. Agire opportunamente e con rapidità. Quando sorgono dei problemi di conformità, eseguire
un controllo e, se opportuno, adottare tempestivamente le misure correttive.

61. Prima regola - Iniziare dall'alto
— La prima regola riguarda esclusivamente i dirigenti.
— Senza un coinvolgimento serio e costante del top management dell'azienda, le
iniziative di conformità sono destinate a incontrare difficoltà o al fallimento totale.
Solo con un cambio di mentalità e un impegno costante le banche e le aziende
riusciranno pensare alla compliance più come a un insieme di 'best practices' piuttosto
che come a una semplice 'legge' da osservare.
— In altre parole, prima accettiamo la compliance come una componente necessaria
delle attività di business e prima diverrà una componete del successo nel mercato.
— Il timore, l'ostilità e l'inosservanza della normativa e delle iniziative legate alla
conformità stanno cominciando a lasciare il passo alla cooperazione, al riconoscimento
di opportunità e al rispetto dell'impegno a mantenersi onesti quali valori di reale
crescita e consolidamento aziendale.

62. Pensare in modo globale
— Invece di affrontare il problema della conformità tema per tema, regione per
regione, le aziende devono adottare una visione globale. Questo è possibile
soltanto se il team dei senior executive ha un'esperienza e una visione di
livello internazionale oltre che familiarità con le prassi e le normative locali
dei vari paesi del mondo.
— È necessario essere al corrente delle varie normative che riguardano vari
settori nei diversi paesi e prepararsi a soluzioni che le armonizzano in
un’ottica di compliance globale.
— In alcuni casi si deve individuare le normative più severe e soddisfarle, poi si
può guardare con minore preoccupazione a soddisfare tutte le altre
normative.

63. Seconda regola - Implementare
controlli nel continuo
— Una volta costituito un team di provata esperienza responsabile della
conformità, si passa a documentare e valutare tutte le procedure gestionali.
In questa fase, molte aziende scoprono di avere procedure antiquate o
manuali o peggio corrette e conformi nella forma ma non nella sostanza alle
normative correnti. Questo è il caso più frequente in cui si generano fenomeni
di rischio moltiplicativi come i reputazionali.
— Alcune organizzazioni ad esempio non prevedono una separazione dei
compiti fra personale di vendita, dirigenti finanziari e altri reparti dell'azienda.
— Inizialmente, l'implementazione dei controlli appropriati può sembrare
un'impresa titanica. Ma oggi si possono sfruttare svariati standard
fondamentali come punti di partenza e semplificare così il processo.

64. Terza regola - Controlli proattivi
— Il problema dei controlli ovviamente passa attraverso l’adozione di metodiche già sviluppate per i
sistemi di Audit e di Risk Mng. , ma la particolarità dei controlli di conformità si presenta
allorquando si sono esauriti gli aspetti formali. Infatti solo una visone prospettica delle
implicazioni insite nei principi delle norme può portare alla comprensione degli effetti e delle
possibili conseguenze soddisfacendo anche la necessità di un processo di controllo ex-ante. Da
qui una visione olistica del processo di controllo e la necessità di controlli non più solo ex-post
come nell’Audit ma nel continuo e di tipo proattivo all’interno dei processi e dell’operatività
quotidiana.
— Il fine ultimo della compliance è quello di rendere i processi e le attività intrinsecamente conformi
e etici. Un po’ come in una famiglia l’esempio, la formazione e la trasmissione di solidi principi ,
rendono capaci di ridurre il rischio di sbagliare comportamento anche nelle situazioni non
previste.
— Il sistema dei controlli deve pertanto essere un processo continuo proattivo di auto assimilazione
per passare da controlli di secondo livello a via via un sistema autocontrollo nel continuo e
predisporre i controlli per le nuove situazioni di rischio.

65. Quarta regola - Informare
— Naturalmente, qualsiasi misura di controllo aziendale orientata all'implementazione della
conformità non vale nulla senza una comunicazione e una formazione degli utenti adeguate e
continue. Comunicare la filosofia di base di un insieme di norme e una formazione adeguata in
itinere sono le due aree più irte di ostacoli quando si tratta di conformità.
— Pur a fronte del dovuto coinvolgimento del top management e di investimenti sufficienti in
sistemi e tecnologia, la preparazione dei dipendenti in relazione all'importanza del “compliance
way of lif” e nel come utilizzare correttamente gli strumenti a disposizione, sono l'area in cui le
aziende sono spesso più carenti. Il training e il riorientamento culturale sono due dei più
importanti fattori di successo per un'implementazione riuscita della conformità normativa.
— È essenziale far sì che il personale prenda sul serio faccia proprio il problema della conformità.
Spesso le organizzazioni cercano soltanto una soluzione tecnica o formale, dimenticando che
devono convincere i dipendenti di quanto sia importante la conformità e non un “problema di
qualcun altro” ma qualcosa che li riguarda personalmente. In alcuni casi sarà necessario inserire
materiale sulla compliance nei documenti di HR, nelle intranet e nella newsletter elettronica
mensile indirizzata ai dipendenti.

66. Quinta regola - Dare ascolto alle critiche
— Se un’attività o un processo si dimostra carente in termini di compliance, i dipendenti devono avere a
disposizione dei canali di comunicazione che consentano loro di esprimere le proprie perplessità senza timore
di conseguenze. Questi possono essere costituiti da soluzioni anche per comunicazioni anonime che diano ai
dipendenti la possibilità di rendere note le proprie osservazioni.
— Oltre a fare in modo che questi canali di comunicazione vengano creati, occorre anche accertarsi che tutti i
dipendenti siano a conoscenza della loro disponibilità a esempio, mettere a disposizione un numero verde
tramite il quale i dipendenti possono denunciare in forma anonima casi sospetti di violazione delle leggi statali
o dei regolamenti interni o esterni cui è obbligo per l’Azienda.
— Inoltre i dipendenti devono disporre di canal i e hot line dedicate ai vari temi della conformità per porre quesiti
in caso di dubbio su come comportarsi in una particolare situazione (es. antiriciclaggio, usura, privacy,
sicurezza, ….ecc.).
— Occorre creare un sistema di comunicazione che consenta nel continuo di apprezzare le linee di tendenza dei
fattori chiave influenzanti i processi di cui ogni membro dell’azienda è owner. Questo richiede un sistema di
comunicazione bidirezionale corredato da indicatori condivisi di natura qualitativa ma anche in grado di
propagare informazioni e interventi proattivamente con tempestività lungo ogni linea operativa sino alle sue
estreme propaggini
— Questo sistema con sente di propagare anche verso l’alto osservazioni e elementi di criticità che posso sfuggire
ad un'analisi per principi necessaria per l’adattamento continuo alla realtà

67. Sesta regola: Agire tempestivamente
— Agire opportunamente e con rapidità oltre che proattivamente. Ogni indugio ed
azione di tipo difensivo come molte soluzioni di tipo legale rivolte ad escludere una
responsabilità solo formale non mettono al riparo da conseguenze di tipo
reputazionale o strategico.
— Quando sorgono dei problemi di conformità, occorre eseguire un rapido controllo e, se
opportuno, adottare tempestivamente le misure correttive intervenendo lungo tutta
la filiera operativa interna ed esterna anche con interventi radicali dimensionati alla
difesa dell’ aspetto reputazionale a rischio.
— Questo implica una catena del controllo attiva nel durante e pervasiva, dotata della
necessaria autorevolezza e in grado di attivarsi con un sistema di comunicazione
mantenuto efficace ed efficiente nel continuo.
— Occorre disporre di un pool di esperti in varie discipline che consentano l’analisi
olistica dei singoli fenomeni in modo da avviare le opportune misure di adeguamento
e correzione in grado di mitigare gli effetti moltiplicativi delle varie categorie di rischio
e avviare i necessari processi formativi e di comunicazione interna ma soprattutto
esterna.
67

68. 68
Grazie per l’attenzione