Redazione
Quali fattori sono da considerare quando si vuole istituire in azienda la funzione di Compliance?
Per istituire con successo la funzione di Compliance in azienda occorre partire dalla cd. ruota della Compliance. La ruota e gli elementi che la compongono, sono una guida per ottenere una funzione di compliance efficace e indipendente.
L’ambiente esterno
I fattori esterni determinano il quadro giuridico di riferimento ed influenzano la funzione di Compliance. I fattori esterni sono:
1. Legislazione e regolamenti (Law and Regulation). A questo proposito occorre considerare tutte le leggi ed i regolamenti sia nazionali, sia dell’Unione Europea ma anche le decisioni e le linee guida delle autorità di vigilanza (supervisor) nonché eventuali altri regolamenti rilevanti per l’organizzazione.
2. Società (Society). Infatti, gli sviluppi della società influenzano le scelte delle imprese del settore finanziario (e non solo). Per questo motivo, influiscono sulla progressione e modifica della funzione di compliance.
3. I supervisori. Sono le Autorità di vigilanza che attraverso l’Agenda di Vigilanza ed i Questionari Tematici decidono i punti di attenzione della vigilanza per il periodo successivo. Per questo è importante seguire le pubblicazioni delle Autorità di vigilanza e considerarle nell’ambito del quadro giuridico della propria azienda suddividendole, per argomenti e tematiche.
L’ambiente interno
Il Compliance Officer opera all’interno di confini pre-determinati che sono influenzati, fra l’altro, da:
1. Governance della Compliance. La governance della funzione di Compliance è descritta nel Compliance Charter che stabilisce i compiti, le responsabilità e l’obiettivo della funzione stessa.
2. Propensione al al rischio (Risk Appetite). La dirigenza dell’impresa è responsabile della determinazione della propensione al rischio dell’organizzazione. È la dirigenza che determina come vengono gestite le regole all’interno dell’organizzazione: si è più propensi a cercare i limiti oppure si preferisce stare nella zona sicura? Il ruolo della funzione di Compliance è di valutare le scelte rispetto alla normativa e fornire adeguata consulenza senza sostituirsi alla dirigenza.
3. Cultura organizzativa all’interno dell’impresa (Organizational Culture). Con cultura organizzativa si intendono le regole ed i comportamenti non scritti; comprende anche il modo in cui i dipendenti e collaboratori mettono in pratica le regole interne ed esterne. In questo ambito, il comportamento della dirigenza (tone at the top) è fondamentale e, soprattutto, affinché la funzione di Compliance sia efficace ed effettiva, è importante conoscere bene la cultura d’impresa.
La ruota della Compliance: come procedere
1. Quadro giuridico
Il quadro giuridico è la panoramica dei requisiti di vigilanza che l’impresa deve soddisfare in base alla sua licenza. La realizzazione e l’aggiornamento continuo del quadro giuridico dell’impresa sono compiti precisi che richiedono tempo ed energie. Non si tratta solo di fare una panoramica di tutte le leggi e dei relativi regolamenti, ma occorre anche tenere in considerazione un gran numero di fonti per avere la certezza di avere sempre aggiornato il quadro giuridico (modifiche ai regolamenti, pubblicazioni delle autorità di vigilanza, ecc.). Da notare che ci sono sistemi software adeguati per assicurare l’aggiornamento costante del quadro giuridico dell’impresa anche suddivisi per tematiche e argomenti.
2. Misure di controllo
Le misure di controllo, come le policy e le procedure, hanno lo scopo di mitigare i rischi. Ci sono sistemi informatici per verificare il rispetto di tutte le norme applicabili. Questi consentono sia la realizzazione di “policy center” che contengono tutte le policy, le propcedure e le relative misure di controllo sia il loro costante aggiornamento; ma anche l’abbinamento dei singoli componenti del policy center con determinati argomenti del quadro giuridico per verificare che la normativa giuridica dell’impresa sia sempre rispettataed, eventualmente, intervenire.
3. Valutazione del rischio (Risk Assessment)
L’analisi del rischio fornisce informazioni dettagliate sui rischi individuati ai fini dei requisiti di vigilanza. Eseguendo l’analisi dei rischi, è possibile chiarire quali rischi corre l’impresa perché non sta rispettando(completamente) leggi e regolamenti. Da notare che i sistemi informatici consentono di fare un’analisi del rischio per tematica oppure argomento e consentono anche di fare una rapida valutazione oppure scendere in profondità.
4. Compliance Program
Il Compliance Program basato sul rischio stabilisce quali azioni vengono intraprese per mitigare – se desiderato – i rischi netti. Per semplificare, si può dire che è l’agenda della Compliance per il periodo successivo. Il Compliance Program va via via aggiornato.
Alcune volte, soprattutto quando si lavora con un gruppo numeroso, può essere difficile mantenere la panoramica delle attività di compliance e di monitoraggio all’interno di un’impresa. I sistemi informatici possono essere un valido aiuto in quanto tengono traccia delle attività pianificate ed eseguite.
5. Reporting
La reportistica relativa alla identificazione e valutazione della situazione corrente per relativa i rischi di compliance, le mancanze e gli incidenti è trimestrale.
6. Monitoraggio
La funzione di conformità supervisiona il follow-up che ha luogo dopo che è stato identificato un rischio o un incidente, di compliance. In questo contesto sarà monitorato anche lo stato di avanzamento delle azioni di follow-up a seguito delle attività di monitoraggio.
Fra le attività di pianificazione (e, poi di monitoraggio) rientrano, ad esempio:
- per le modifiche legislative, preparare un piano o azioni dettagliate;
- per i risultati delle analisi dei rischi, integrare i risultati con azioni di follow-up;
- impostare uno scadenzario per gli obblighi periodici di tipo legislativo;
- pianificare il follow-up delle attività di monitoraggio.
Tutte le attività vengono raggruppate nell’agenda di monitoraggio, in modo da avere una panoramica completa dell’ordine di priorità, il nome del responsabile e la data di scadenza dell’attività.