AICOM ringrazia codesta Autorità di Vigilanza per l’opportunità concessale, di poter partecipare alla consultazione in corso relativa allo schema delle “Disposizioni di vigilanza per gli intermediari finanziari” che danno attuazione alle disposizioni contenute nel titolo V del Testo Unico Bancario (TUB), come modificato dal D.lgs. 141/2010.
Nel confermare la posizione espressa anche in occasione di precedenti consultazioni sul Sistema dei Controlli Interni, AICOM ribadisce il proprio allineamento alla posizione espressa dalla Banca d’Italia, in occasione del resoconto della prima consultazione.
In particolar modo, la scrivente Associazione concorda con la necessaria applicazione, agli intermediari finanziari specializzati, della c.d. “vigilanza equivalente” a quella bancaria. Tale approccio, finalizzato al perseguimento degli obiettivi della sana e prudente gestione degli intermediari, così come della stabilità del sistema finanziario nel suo complesso, garantisce la disponibilità di un quadro normativo in materia di vigilanza prudenziale uniforme e costantemente aggiornato.
In aggiunta, è favorevole ad una migliore applicazione del principio di proporzionalità, punto di partenza per la creazione di una disciplina semplificata per ciò che concerne le regole organizzative, applicabile in particolar modo agli operatori di minore dimensione e complessità.
SISTEMA DEI CONTROLLI INTERNI
Entrando nel merito dei principi enunciati nel nuovo testo in consultazione, la semplificazione sul piano organizzativo proposta all’interno del Titolo III, Capitolo 1, Sezione III, prevede che gli intermediari finanziari possono:
– affidare lo svolgimento delle funzioni di secondo livello (Compliance e Risk Management) alla medesima unità organizzativa;
– affidare lo svolgimento delle funzioni aziendali di controllo all’esterno, secondo quanto previsto dalle disposizioni in materia di esternalizzazione previste nella Sezione V e, per quanto riguarda l’esternalizzazione all’interno dei gruppi finanziari, nella Sezione VI.
Ciò a condizione che il principio di proporzionalità sia mantenuto e che i controlli sulle diverse tipologie di rischio continuino ad essere efficaci e ciò tenuto conto delle specificità dell’industria finanziaria.
È importante sottolineare che le funzioni di secondo livello non possono essere affidate alla funzione di terzo livello, fatta salva la facoltà degli intermediari finanziari minori di costituire un’unica funzione aziendale di controllo.
In tale caso non è consentita l’esternalizzazione della funzione aziendale di controllo, se non nell’ambito del gruppo finanziario.
Il passaggio proposto nel documento in consultazione, pur tenendo conto delle peculiarità degli intermediari interessati, è particolarmente delicato in quanto consentirebbe il venir meno della “separazione” tra le funzioni di controllo di secondo livello e in determinati casi anche di terzo livello.
E’ difficilmente contestabile, infatti, che un sistema dei controlli interno ripartito nelle funzioni di controllo di secondo livello (Compliace, Risk) e di terzo livello (Audit) dia maggiore affidabilità e tale articolazione del sistema a parere dell’Associazione deve rimanere la regola di riferimento.
*****
Come è noto, la Funzione Compliance si occupa, attraverso forme di monitoraggio sui processi e sulle procedure aziendali, della gestione dei rischi di non conformità e di reputazione, rischi che governa individuando appositi dispositivi di controllo atti a garantire l’efficace prevenzione contro l’insorgere degli stessi.
Data la particolare tipologia dei rischi presidiati è essenziale, a parere di AICOM, richiamare l’attenzione sulle differenze esistenti tra la Funzione Compliance e le altre funzioni operanti nel Sistema dei Controlli Interni, chiamate a gestire gli altri rischi a cui è esposta l’impresa, rischi per lo più riconducibili alla sua gestione tipica e, dunque, strategici.
A riguardo AICOM ha già rappresentato in varie e precedenti circostanze quali possibili conflitti di interesse potrebbero insorgere nella definizione, ma ancor più nella realizzazione, di action plan conseguenti all’esecuzione dei compliance program qualora venissero attribuite al medesimo soggetto responsabilità di controllo del rischio strategico d’impresa e del rischio di non conformità alle norme e di reputazione.
A titolo esemplificativo, l’eventuale sovrapposizione della Compliance con la Funzione Legale, responsabile quest’ultima dell’attività contrattuale e della gestione del contenzioso, verrebbe inevitabilmente a far prevalere la gestione dell’interesse dell’impresa su quello del cliente, la cui protezione, invece, è prioritaria per la Funzione Compliance.
Anche con riferimento alle altre funzioni di controllo di secondo livello identificate dalle norme, in particolare le Funzioni di gestione del Credit e del Market Risk, concreti sono i possibili conflitti insorgenti dall’attribuzione, a queste ultime, di responsabilità di gestione del compliance e del reputational risk.
Dette funzioni di controllo, infatti, trattando essenzialmente rischi di natura imprenditoriale, si focalizzano su obiettivi quantitativi di business, non sempre coincidenti se non, addirittura, confliggenti con le esigenze di minimizzazione e/o di annullamento del rischio di non conformità, esigenze perseguite dalla Funzione di Conformità alle norme.
L’attribuire dunque a questi stessi soggetti responsabilità di gestione di rischi non solo differenti, ma spesso contrapposti, tenderebbe inevitabilmente a far prevalere la gestione del rischio strategico sulla gestione degli altri rischi.
Se ciò può accadere in imprese di dimensione considerevole, a maggior ragione la possibilità che questi comportamenti vengano adottati da imprese alle quali sia possibile applicare il principio della proporzionalità è ragionevolmente cosa quasi certa, considerando la notevolmente minore dotazione infrastrutturale di cui tali imprese spesso sono dotate.
Il conflitto d’interesse sopra rappresentato, invece, può essere mitigato nel caso di eventuale coincidenza del Responsabile dell’Operational Risk Management con il Responsabile Compliance, le cui attività implicano l’allineamento e la condivisione di approcci metodologici di analisi qualitativa – es. metodologie di risk assessment – e di gran parte degli obiettivi sinergici perseguiti (la distinzione insorge nella definizione degli obiettivi quantitativi di ORM).
Anche l’esperienza internazionale conferma la vicinanza della gestione del compliance risk con quella del solo rischio operativo.
Solo l’attribuzione di distinte e separate responsabilità di gestione di rischi altrettanto differenti garantisce quindi il mantenimento dell’autonomia della Funzione Compliance rispetto alle altre funzioni di controllo.
Quanto sopra, inoltre, ferma restando la maggiore efficienza di funzioni di controllo separate e autonome, consentirebbe comunque l’applicazione del principio della proporzionalità, non contrastando infatti con eventuali scelte organizzative dell’intermediario, di affidamento dell’intero svolgimento di queste attività di controllo ad un’unica unità organizzativa, né con la necessità di fornire all’Organo di Supervisione Strategica una visione unitaria di tutti i rischi assunti dall’impresa, in coerenza con gli obiettivi di rischio approvati dagli Organi Aziendali e con le esigenze di governo dei rischi stessi.
Infatti altro è l’allocazione delle responsabilità attribuite alle diverse funzioni, altro è l’esercizio di dette responsabilità e lo svolgimento delle mansioni ad esse connesse, nonché la rappresentazione delle risultanze che da esse derivano.
Mentre le prime potrebbero essere demandate a diversi soggetti – per esempio a esponenti degli Organi Aziendali privi di cariche esecutive – le attività di controllo potrebbero essere eseguite da una stessa struttura organizzativa, la quale verrebbe a render conto delle risultanze ottenute ai diversi responsabili.
La facoltà di affidare lo svolgimento dei controlli di secondo livello ad un’unica struttura, inizialmente prevista per i soli “intermediari minori”, essendo stata estesa a tutti gli intermediari finanziari specializzati, con volumi di attività finanziaria fino a 150 milioni, amplia notevolmente il numero degli enti che possono godere di questa semplificazione, contenendo così i costi legati alla costituzione di funzioni aziendali di controllo separate.
Tale modalità organizzativa quindi potrebbe trovare applicazioni in un consistente numero di soggetti; la stessa tuttavia consentirebbe di non attenuare le responsabilità connesse alla gestione di rischi molto importanti ancorché non strategici per l’azienda.
ESTERNALIZZAZIONE
Quanto sopra rappresentato trova a parere di AICOM conferma nelle regole connesse alla esternalizzazione delle funzioni aziendali di controllo.
Forte è la correlazione tra la Funzione di Conformità e l’esternalizzazione delle funzioni aziendali segnalando al riguardo che, specie in realtà di piccole e medie dimensioni, importanti aree di conformità sono in tutto (outsourcing) o in parte (service) esternalizzate.
La ragione che spinge le piccole società a fare ricorso all’esternalizzazione è la necessità di ridurre il peso del back office (risorse umane, disponibilità dei locali, macchinari ecc.) al loro interno.
Per alcuni enti di piccole e medie dimensioni, spesso è una scelta obbligata per assicurare l’adeguatezza, nei tempi prescritti, ai continui cambiamenti delle normative e alle innovazioni tecnologiche.
È importante innanzitutto chiarire il concetto di “esternalizzazione”. Quest’ultima, infatti, si sostanzia nell’affidare ad un terzo esterno l’incarico di presidiare integralmente una o più funzioni aziendali (fasi essenziali di un più complesso processo o attività non meramente materiali), trasferendogli integralmente lo svolgimento di tali attività.
Al contrario, non costituisce “esternalizzazione” l’utilizzo di entità e risorse esterne per lo svolgimento di singole attività specifiche che rimangono sotto il coordinamento funzionale dell’unità operativa competente, che ne mantiene la responsabilità.
È proprio nell’esternalizzazione che la facoltà di separazione tra esecuzione e responsabilità del controllo si rende evidente. Ciò è verificato nel fatto che gli intermediari che ricorrono all’esternalizzazione delle funzioni aziendali di controllo, se da un lato cedono l’effettiva esecuzione del controllo al fornitore dei servizi, dall’altro mantengono la capacità di controllo e la responsabilità sulle attività in outsourcing, nonché le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessità, il loro svolgimento.
Per quanto riguarda questo ultimo requisito, è utile sottolineare che il rispetto del dettato regolamentare pare di difficile e costosa applicazione nel punto in cui richiede all’intermediario di conservare le competenze tecniche e gestionali necessarie per poter effettuare la re-internalizzazione dei servizi concessi in outsourcing, entro tempi brevi, in caso di bisogno.
Al fine di ottimizzare il potere di controllo sulle attività esternalizzate, è essenziale la nomina, all’interno della propria organizzazione, di un responsabile chiamato “referente per le attività esternalizzate” il quale è destinatario di specifiche deleghe in materia. In particolare, per gli intermediari di minori dimensioni, trovando applicazione il principio di proporzionalità è possibile individuare un solo referente interno responsabile dell’esternalizzazione di più funzioni aziendali.
Gli intermediari che intendano esternalizzare le funzioni aziendali di controllo devono definire nel contratto con il fornitore: gli obiettivi, la metodologia, la frequenza sia dei controlli che della reportistica dovuta al referente, gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione, la possibilità di richiedere specifiche attività di controllo al verificarsi di esigenze improvvise e la proprietà esclusiva dell’intermediario dei risultati dei controlli.
Il fornitore dei servizi, destinatario delle funzioni aziendali di controllo esternalizzate, deve sottostare a certe condizioni essenziali necessarie per garantirne l’autonomia. In primo luogo deve essere indipendente rispetto all’intermediario presso cui ha assunto l’incarico. L’esternalizzazione è ammissibile esclusivamente verso soggetti terzi quali banche, società di revisione od organismi associativi di categoria. Non è ammissibile, pertanto, che il fornitore possa essere il singolo revisore contabile persona fisica o una società diversa da una società di revisione.
È necessario, inoltre, che per uno stesso intermediario non si creino cumuli di incarichi relativi a funzioni aziendali di controllo di secondo e terzo livello. Infine, non è ammesso che il fornitore possa svolgere contemporaneamente, per lo stesso intermediario o gruppo finanziario, incarichi aziendali di controllo e attività che sarebbe poi chiamato a controllare.
In tale contesto, è prioritario definire le modalità di integrazione del Sistema dei Controlli Interni e i relativi strumenti. Questi devono consentire di traguardare una gestione integrata del processo di valutazione dei rischi, di individuare le eventuali carenze e le successive azioni.
Ciò al fine non solo di contenere i costi, ma di migliorare la comunicazione tra le diverse Funzioni di Controllo (di secondo e terzo livello) e di raggiungere un grado di efficacia per l’intero Sistema dei Controlli, più elevato e agevole da monitorare.