Compliance e controlli interni nelle banche

SANZIONABILI

- VALUTAZIONE EX ANTE in merito a progetti innovativi o nuovi prodotti-servizi

- SVILUPPO degli STRUMENTI e dei RIFERIMENTI necessari per l'adeguamento alle evoluzioni normative (Es: standard contrattuali, fogli informativi, codici comportamentali, ecc..)

3) LINEE GUIDA→ in questa fase la compliance è incaricata di redigere dei DOCUMENTI finalizzati a garantire una corretta applicazione delle norme che sono i MANUALI e CODICI DI CONDOTTA oppure POLICY che devono essere rispettati dalle varie funzioni sulla base di quelle che sono le analisi legate all'adozione delle nuove normative. E quindi, è una fase sempre a supporto di tutti i livelli aziendali. Inoltre, analizzando le nuove norme/aggiornamenti normativi→ dovrà aggiornare tali documenti, oltre a contribuire a guidare le altre funzioni attraverso COMUNICAZIONI in merito all'interpretazione delle norme.

4) FORMAZIONE→ consiste semplicemente nell'erogazione di una

sulle tematiche rientranti nel perimetro della compliance agli organi aziendali ed a tutto il personale aziendale.

1. IDENTIFICAZIONE, MISURAZIONE e VALUTAZIONE→ questo è il cuore del processo di compliance (COMPLIANCE RISK ASSESSMENT). → finalizzata ad individuare delle procedure interne coerenti con la prevenzione delle possibili violazioni. (Ad Esempio L'utilizzo del MODELLO MRSV può rappresentare un importante strumento per accrescere la consapevolezza della banca in merito al rischio di sanzione, ad esempio per capire quali siano le aree scoperte in cui presento delle carenze per intervenire prima che la vigilanza le rilevi nello SREP oppure tramite ispezioni ad hoc, in tal modo possono evitare la sanzione, e quindi sia la perdita secca che il danno reputazionale che ne deriva. Quindi, in questa fase ritroviamo proprio l'essenza dell'approccio risk based, nonostante la funzione di compliance sia prevalentemente una funzione di tipo qualitativo. Chiaramente,

in questa fase rientrano diverse sub-fasi tra cui:

1. PRE ASSESSMENT/IMPACT ANALYSIS→ FASE INIZIALE→ in cui si fa una schematizzazione del perimetro normativo di riferimento;
2. INDIVIDUAZIONE DEL RISCHIO INERENTE→ considerando il peso/significatività dell’evento rischioso + DEFINIZIONE DEI KEY RISK INDICATORS (fondamentali per la fase di monitoring);
3. VALUTAZIONE DI ADEGUATEZZA DEI CONTROLLI→ si valutano le azioni di mitigazione e di identificazione degli interventi risolutivi necessari per ricondurre entro condizioni di normalità le eventuali anomalie;
4. VALUTAZIONE DEL RISCHIO RESIDUO e GAP ANALYSIS→ cioè si va a vedere quella componente di rischio che non è presidiata dai controlli esistenti e che espone la banca al rischio di sanzioni giudiziarie, amministrative, perdite finanziarie rilevanti e danni reputazionali.
5. VALUTAZIONE DI EFFICACIA DEI CONTROLLI

Chiaramente, il tutto deve essere programmato nel dettaglio a tavolino econdiviso con i vertici aziendali (quindi c'è anche una PIANIFICAZIONE).

1. MONITORING→ si riferisce al monitoraggio degli INDICI DI RISCHIO che vengono definiti KEY RISK INDICATORS, i quali di fatto si affiancano a delle soglie limite oltre il quale è necessario prender consapevolezza e, eventualmente, intervenire.

Dunque, tali indici hanno caratteristiche di:

• NUMEROSITÀ
• FACILE ACCESSIBILITÀ
• SEMPLICE DETERMINAZIONE DI SOGLIE BENCHMARK imposte dal regolatore o internamente;

(es: numero delle transazioni che hanno violato la normativo sul totale delle transazioni, numero reclami, numero violazioni, numero indagini, numero e ammontare sanzioni, costi per procedimenti legali….) In tale fase si vanno a vedere i risultati ottenuti con l'attuazione di azioni di mitigazione della fase precedente. →Perché questa fase è necessaria? perché gli IF non possono azzerare il rischio di compliance e questo comporta la necessitàconoscenza è il MANAGEMENT DEL PROGETTO, che ha bisogno di essere informato sull'avanzamento dei lavori e sulle eventuali azioni correttive da intraprendere. Inoltre, il REPORTING coinvolge anche il TOP MANAGEMENT, che deve essere aggiornato sullo stato di avanzamento del progetto e sulle eventuali criticità riscontrate. Per quanto riguarda la struttura dei flussi informativi, è importante che siano chiari, completi e tempestivi. Le informazioni devono essere organizzate in modo da consentire una facile comprensione e valutazione da parte dei destinatari. Inoltre, è fondamentale che vengano utilizzati strumenti adeguati per la comunicazione, come report scritti, presentazioni o incontri periodici. In conclusione, il REPORTING è un elemento essenziale per il Sistema di Controllo Interno, in quanto permette di monitorare l'avanzamento dei lavori, individuare eventuali scostamenti e adottare le azioni correttive necessarie. Inoltre, garantisce una corretta comunicazione tra le diverse figure coinvolte nel progetto, favorendo la collaborazione e la condivisione delle informazioni.conoscenza e l'INTERNAL AUDIT che poi ha un riportodiretto con l'organo amministrativo e quindi lo informa. Ma perché tutta sta cosa? perché nel momento in cui la compliance rileva una serie diproblematiche che poi si traducono in una sanzione perché non sono riuscite a gestirle exante, allora vuol dire che la banca probabilmente sta prendendosi un rischio + alto di quelloche aveva stabilito il CDA, e quindi dovranno essere rivisitate le policy del rischio chedefinisce il CDA, per cui se dal basso arriva un flusso informativo che mi dice che il profilo dirischio di partenza effettivo è superiore a quello stabilito, allora il CDA deve prendere delledecisioni in merito alle soluzioni alternative come l'aumento di capitale oppure unarazionalizzazione di alcuni business per ridurre il livello di rischio a cui ci si espone. Quindi, questo esempio è per far capire che se se l'attività di reporting non c'è o

non è efficiente sicuramente, si rischia di non apportare le modifiche necessarie e intervenire laddove vi sono delle criticità. Nello specifico nel predisporre la reportistica possiamo individuare alcune informazioni basiche da inserire:

Inoltre, se alcune attività della funzione di compliance vengono ESTERNALIZZATE, allora è necessario integrare la documentazione con la reportistica dell'outsourcer.

IL PROFILO DEL CHIEF COMPLIANCE OFFICER (CCO): compiti e responsabilità.

Il CCO è il RESPONSABILE della funzione di compliance ed è una figura che negli anni ha assunto una rilevanza sempre maggiore all'interno dell'organizzazione e della governance bancaria.

Fondamentalmente il suo compito è:

• SUPERVISIONARE le POLITICHE DI GESTIONE del COMPLIANCE RISK;
• + i PRESIDI adottati dalla banca;
• Conformità di nuovi prodotti e servizi offerti dalla banca affinché siano conformi alla normativa.

Le disposizioni di BI sanciscono

che si traduce nella disponibilità di un adeguato budget e di un team di professionisti qualificati.3) INDIPENDENZA→ che si manifesta attraverso l'autonomia decisionale del CCO, senza interferenze esterne che possano compromettere la sua capacità di agire in modo imparziale e obiettivo. Inoltre, è fondamentale che il CCO abbia un diretto accesso al CDA e al Consiglio di Amministrazione, al fine di poter comunicare in modo trasparente e diretto eventuali criticità o segnalazioni di non conformità.

Oltre ad essere coinvolto nei processi decisionali, i suoi compiti e responsabilità vengono formalizzati in un documento deliberato dal CDA (cd. mandato), il quale è fondamentale perché ivi viene indicata anche la sua nomina permanente da parte del CDA stesso, e quindi significa che potrà procedere nell'espletamento del proprio incarico.

Autorevolezza che si esplica anche nell'inserimento del CCO tra i top dell'organigramma aziendale → infatti, in virtù dei compiti affidatigli (di supervisione, gestione e monitoraggio), il CCO assume un ruolo strategico per il corretto svolgimento delle funzioni aziendali della banca, e quindi nonostante il suo subordinamento al CDA e al CS, comunque è nel novero dei top nell'organigramma aziendale.

Indipendenza → per soddisfarlo è necessario che il CCO non abbia responsabilità diretta in altre aree di business o operative della banca (ossia quando gli vengono affidati ruoli in cui

può sorgere un conflitto d'interessi per le responsabilità in materia di compliance e negli ulteriori ruoli ricoperti), in modo da evitare che possano sorgere situazioni riconducibili alla fattispecie del CONFLITTO D'INTERESSI. Inoltre, è necessario che non vi siano VINCOLI GERARCHICI con i responsabili di altre aree controllate (es: responsabile IA), ma deve sottostare al controllo del CDA e del CS. Una figura di tale spessore non ha soltanto il dovere di rispettare i requsiti imposti da BI, ma dovrà anche avere delle qualità personali che lo contraddistinguono in modo da svolgere al meglio le sue mansioni (es: capacità di problem solving, team working) → infatti egli deve fare anche formazione al personale in materia di compliance ed essere in grado di dialogare e mantenere rapporti continui con le altre funzioni aziendali. Nell'espletamento del proprio incarico egli ha il DOVERE DI PREVENIRE PERDITE FINANZIARIE legate a sanzioni o.

DANNI REPUTAZIONALI, e quindi questo comporta che sarà il CCO a dover comunicare anche ai vertici aziendali il divieto di un servizio, della commercializzazione di un prodotto o dell'implementazione di una strategia se essi non risultano compliance allanormativa.

Ci sono ALCUNI COMPITI che, secondo BI, per la loro delicatezza ed incisività nella struttura aziendale devono essere eseguiti dal CCO:

• Redazione COMPLIANCE PLAN
• Redazione RELAZIONE ANNUALE da presentare al CDA ma anche a BI
• Redazione RELAZIONE sui RECLAMI
• Redazione dell'eventuale RELAZIONE SULL'ESTERNALIZZAZIONE del TRATTAMENTO DEL CONTANTE (perché il contante quando entra in banca deve essere verificato con riferimento alla autenticità-falsità ma anche allo stato conservazione e di integrità, e quindi se possono essere rimmesse in circolazione → a tal fine BI concede la possibilità di esternalizzare tale servizio ad operatori non finanziari che svolgono p