In campo economico con il termine compliance normativa (o regulatory compliance, in italiano anche conformità normativa) si intende la conformità a determinate norme, regole o standard. Nelle aziende la compliance normativa indica il rispetto di specifiche disposizioni impartite dal legislatore, da autorità di settore, da organismi di certificazione nonché di regolamentazioni interne alle società stesse.
In banca, ad esempio, la “funzione di Compliance” ha il compito di verificare che “le procedure interne siano coerenti con l’obiettivo di prevenire la violazione di norme di etero regolamentazione (leggi e regolamenti) e autoregolamentazione (codici di condotta, codici etici)” al fine di evitare rischi di “incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione”.
Il concetto di compliance in azienda è solitamente associato anche al concetto di onestà ed etica nei comportamenti spesso in relazione a veri e propri codici etici o principi deontologici dei settori di appartenenza.
Perché una funzione di Compliance?
L’esigenza di istituire in azienda una funzione specifica di Compliance nasce dalle riflessioni condotte a livello internazionale, anche a fronte di scandali e fallimenti specie in campo finanziario, che hanno evidenziato l’esigenza di rafforzare presidi organizzativi volti ad assicurare la piena osservanza delle normative riguardanti l’attività svolta e, in particolare, le relazioni con la clientela.
Nelle banche, negli intermediari finanziari e nel comparto assicurativo, la funzione di compliance è chiamata a svolgere un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla regolamentazione prudenziale (Basilea II, Solvency II); la compliance ha infatti un’ottica prevalentemente preventiva nel presidiare rischi di carattere legale e reputazionale.
La Compliance è obbligatoria?
Banche e intermediari che offrono servizi di investimento ed assicurazioni devono obbligatoriamente istituire una funzione di compliance secondo le indicazioni fornite rispettivamente da:
- Banca d’Italia il 12 luglio 2007 nelle “Disposizioni di Vigilanza – La funzione di conformità”;
- CONSOB (congiuntamente a Banca d’Italia) il 29 ottobre 2007 nel “Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio”;
- ISVAP il 26 marzo 2008 nel “Regolamento N. 20 recante disposizioni in materia di controlli interni, gestione dei rischi, compliance (…)”.
Tali normative di vigilanza recepiscono i principi guida sulla materia pubblicati nel 2005 dal Comitato di Basilea. Molte aziende facenti parti di gruppi multinazionali specie se quotate in borsa, pur non essendo tenute a norma di legge, istituiscono una funzione di Compliance.
Approccio per principi
L’approccio regolamentare alla compliance delle authority di controllo è caratterizzato da una limitata prescrittività e si fonda, viceversa, sull’indicazione di principi generali, integrati, ove necessario, da linee guida applicative e indicazioni sulle prassi accettabili (principle based regulation). Il principio di proporzionalità rappresenta, inoltre, il canone interpretativo e applicativo cui le aziende devono necessariamente fare riferimento per trasporre le indicazioni di vigilanza nella specifica realtà aziendale in modo commisurato alla propria complessità dimensionale e/o operativa.
Indipendenza
In azienda la funzione di Compliance deve essere indipendente, ciò significa che deve essere:
- formalizzato lo status e il mandato della funzione attraverso l’indicazione di compiti, responsabilità, addetti, prerogative;
- nominato un responsabile indipendente;
- assicurata la presenza di adeguati presidi per prevenire i conflitti di interesse attraverso, in particolare, la previsione di flussi informativi separati e dedicati.
Rischio di (non) conformità alle norme
“Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina).”
Ruolo degli organi di vertice
Il Consiglio di Amministrazione, il collegio sindacale e il direttore generale – ciascuno secondo le proprie specifiche competenze – devono assicurare una efficace gestione del rischio di conformità. A tal fine:
- definiscono adeguate politiche e procedure di conformità;
- stabiliscono canali di comunicazione efficaci per assicurare che il personale a tutti i livelli dell’organizzazione sia a conoscenza dei presidi di conformità relativi ai propri compiti e responsabilità;
- assicurano che le politiche e le procedure vengano osservate all’interno della organizzazione nel caso emergano violazioni,
accertano che siano apportati i rimedi necessari; - delineano flussi informativi volti ad assicurare agli organi di vertice della società piena consapevolezza sulle modalità di gestione del rischio di non conformità.
Perimetro normativo
Ogni azienda deve definire il perimetro di riferimento della propria “funzione di Compliance”, individuando le norme, di etero e autoregolamentazione, rispetto alle quali essa ha la responsabilità di assicurare la conformità in via attuale e prospettica; in tale ambito, vanno considerati settori e aree di operatività, strategie perseguite, modelli di business adottati, prodotti e servizi offerti, tipologia di clientela, priorità di rischio eventualmente rilevate.
Tra le normative generali che generalmente vengono fatte rientrare in tutte le aziende nell’ambito della compliance vi sono:
- Antiriciclaggio e contrasto del finanziamento del terrorismo;
- Lgs. 231/01 sulla “responsabilità amministrativa delle persone giuridiche”;
- Privacy e protezione dei dati personali;
- Lgs 141/10 e Codice del Consumo;
- Security – sicurezza informatica;
- Safety – d. lgs. 81/2008 sulla “sicurezza sul posto di lavoro”;
- Qualità e certificazione ISO9001 (per chi è soggetto).
Per le società quotate vanno aggiunte norme ulteriori quali ad esempio:
- legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”.
Se le società sono quotate in mercati esteri vanno (ovviamente) rispettate le norme locali; ad esempio le aziende italiane quotate a
NYSE devono rispettare (tra l’altro):
- SOX – Sarbanes-Oxley Act. In ambito bancario “in via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l’esercizio dell’attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore”. Di conseguenza oltre le normative “generali” di cui sopra la funzione di Compliance in banca si occupa anche di:
- Trasparenza dei Servizi Bancari
- Normativa di contrasto all’Usura
- MiFID- Markets in Financial Instruments Directive (Direttiva sui mercati degli strumenti finanziari)
- PSD – Payment Services Directive (Direttiva sui servizi di pagamento)
- Business Continuity, continuità del servizio.
Compliance e Internal Audit
La funzione di conformità si inserisce nel più ampio sistema dei controlli interni ed in particolare nell’ambito delle funzioni di controllo sulla gestione dei rischi. Nelle banche la Compliance è una funzione di controllo di “secondo livello” ed ha l’obiettivo di “concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l’adozione. Il ruolo descritto differenzia sostanzialmente la funzione di conformità da quella di revisione interna.
L’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte dell’Internal Audit o revisione interna (che nelle banche è una funzione di controllo di terzo livello); di conseguenza, per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna.