di Nicola MITIDIERI e Gianluca GREA
L’European Securities and Markets Authority (ESMA), ha pubblicato nel giugno del 2020 (con traduzione del 6 aprile 2021 nelle lingue ufficiali dell’Unione Europea) gli “Orientamenti su alcuni aspetti dei requisiti della MiFID II relativi alla funzione di controllo della conformità” (gli “Orientamenti”)(1), ai sensi della Direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari (la “MiFID II”).
Gli Orientamenti, la cui applicazione decorre dal 6 giugno 2021, assumono carattere novativo rispetto alle linee guida dell’ESMA del 2012 e mirano a
i) istituire pratiche di vigilanza coerenti, efficienti ed efficaci all’interno del Sistema Europeo di Vigilanza Finanziaria,
ii) assicurare un’applicazione comune, uniforme e coerente di alcuni aspetti della Funzione di Compliance, nonché
iii) promuovere una maggiore convergenza nell’interpretazione e negli approcci di vigilanza dei requisiti della citata funzione, favorendo infine un rafforzamento della protezione degli investitori.
Prima di entrare nel merito dell’argomento che qui interessa, ci sia consentita una riflessione ed una premessa di carattere generale.
La normativa omnia in materia di conformità e, in generale, di sistemi di controllo, risulta essere in costante – e coerente – evoluzione rispetto ad un armonico contesto normativo europeo ove, attraverso differenti fonti legislative, sono stati affrontati più volte i ruoli, compiti e responsabilità delle funzioni di controllo di secondo e terzo livello. Detta produzione normativa ha consentito che il sistema di controllo interno degli operatori bancari e finanziari evolvesse qualitativamente, favorendo peraltro strutture organizzative sempre più complesse e articolate.
Gli Orientamenti in esame, condivisibili nella loro rilevanza, declinano aspetti puntuali di pertinenza della Funzione Compliance e sembrano convergere verso un sistema basato sulla cd. “compliance integrata”, con una spiccata vocazione all’attività di analisi ex ante, di tipo quindi preventivo, in un’ottica cd. di “risk based approach”. Assumono, quindi, particolare rilevanza gli obblighi di monitoraggio della Funzione Compliance, chiamata ad agire in stretta collaborazione con le altre funzioni di controllo di secondo e terzo livello, nonché, ove presenti, con le funzioni anche di staff dell’eventuale gruppo di appartenenza, considerando che:
(i) la previsione di strumenti e metodi, di competenza della funzione di controllo della conformità, poggiano su indicatori di misurazione del rischio aggregato e,
(ii) le relazioni funzionali devono documentare, tra l’altro, le differenze materiali tra i dati reali e le previsioni (cosiddetta relazione sulle eccezioni).
Gli Orientamenti, infatti e tra l’altro, dispongono che le valutazioni svolte dalla Funzione Compliance debbano prendere in considerazione, ad esempio, non solo i controlli di primo livello delle aree di attività dell’impresa, bensì anche le indicazioni rinvenienti dalla funzione di gestione del rischio, dalla funzione di audit interno o da altre funzioni di controllo nell’area di servizio dell’attività di investimento, ambito di interesse del documento oggetto di analisi.
I richiamati ambiti di attività, di per sé tutti meritevoli di ampia condivisione, dovranno poi essere calati nella concreta operatività, ciò comportando l’avvio di azioni specifiche da parte di ciascuna funzione di controllo: sarà quindi sempre più doverosa una condivisione ex ante – quale convergenza di opinioni e ambiti di analisi – tra le stesse, nonché tra queste ultime e le diverse aree aziendali. Tale esigenza potrà essere percepita come cogente non solo nell’articolata attività di “traduzione” di tali tematiche all’interno dei processi e dell’organizzazione aziendale, ma altresì nelle fasi di determinazione di criteri di valutazione dei rischi (e connesse attribuzioni di “pesi”), ovvero campi o settori dell’azienda di interesse comune per i quali occorre condividere valutazioni omogenee e conciliabili, anche al fine di ridurre possibili momenti di sovrapposizione nelle attività di controllo.
Non solo. Ad avviso personale di chi scrive, gli Orientamenti, guardando anche oltre le attività afferenti il controllo di conformità, presuppongono in capo agli operatori la capacità di svolgere un necessario, preventivo e coordinato lavoro di analisi in virtù di ambiti di intervento di competenza (e responsabilità) nel più ampio sistema di controllo interno. Si ritiene, d’altronde, che un corpo normativo interno aggiornato ed efficacemente integrato debba sempre più presupporre una valutazione trasversale tra tutte le diverse aree aziendali, incluse le funzioni di controllo, in modo da rendere più efficace la capacità di analisi dei dati che il sistema dei flussi interni restituisce all’alta dirigenza e, per competenza, agli organi di governance.
La valenza di tali assunti si eleva esponenzialmente nel caso di strutture organizzative articolate e logiche di gruppo complesse, dove l’insieme dei presìdi di controllo, dei flussi informativi e degli obblighi di reportistica definiti dalle normative di riferimento può generare un rischio derivante, da un lato, dalla potenziale sovrapposizione di processi e presìdi di controllo, dall’altro, da una stratificazione di interventi che possono comportare un non perfetto allineamento o coordinamento del corpo procedurale interno, con la conseguenza di determinare un’inefficace “traduzione” degli obbiettivi cui la norma pone.
Vi è poi da considerare il “criterio della proporzionalità”- presente all’interno del quadro normativo di riferimento – quale paradigma necessario per riproporzionare il rischio sopra esposto, in termini di compatibilità e coerenza con le disponibilità e capacità degli operatori meno articolati e complessi, il quale – giova evidenziare – genera non poche problematiche ai fini applicativi: non è sempre di immediata comprensione ciò che possa essere sacrificato del dettato normativo in funzione dell’applicazione di tale principio rispetto ad obiettivi principali e assorbenti, quale – ad esempio – la tutela degli investitori e la protezione del patrimonio aziendale, cui concorre anche il sistema dei controlli interni.
I CONTENUTI DEGLI ORIENTAMENTI
Analizziamo ora i contenuti degli Orientamenti i quali, indirizzati alle Autorità nazionali di vigilanza competenti, sono rivolti ai seguenti operatori:
✓ “imprese di investimento quando prestano servizi o attività di investimento e vendono o forniscono consulenza ai clienti in relazione a depositi strutturati;
✓ enti creditizi quando prestano servizi o attività di investimento e vendono o forniscono consulenza ai clienti in relazione a depositi strutturati;
✓ società di gestione di OICVM quando prestano servizi e attività di investimento in conformità alla Direttiva 2009/65/CE (cd. Direttiva OICVM);
✓ gestori dei fondi investimento alternativi (GEFIA) quando prestano servizi e attività di investimento in conformità alla Direttiva 2011/617UE (c.d. Direttiva GEFIA)”.
ORIENTAMENTO 1: la valutazione del rischio di conformità (Art. 22, par. 1 e art. 22, par. 2, secondo comma, del Regolamento Delegato MiFID II)
La Funzione Compliance, al fine di garantire un monitoraggio dei rischi di conformità, con cadenza regolare ovvero all’occorrenza, è tenuta a condurre una valutazione del rischio sulla base della quale disegnare un piano di azione atto e definire e preordinare le proprie priorità ed attività di periodo (il “risk assessment”).
Il risk assessment, deve perimetrare tutte le aree di attività e dei servizi di investimento dell’intermediario (compresi quelli accessori), nonché del tipo di strumenti finanziari prodotti e distribuiti, delle categorie di clientela, dei canali distributivi e degli esiti delle attività di verifica svolte da altre funzioni aziendali di controllo.
ORIENTAMENTO 2: gli obblighi di monitoraggio del rischio di conformità (Art. 22, par. 2, lett. a) e secondo comma, del Regolamento Delegato MiFID II)
La Funzione Compliance valuta se le attività dell’intermediario siano esercitate in conformità al quadro normativo di riferimento, nonché se le politiche e procedure interne, l’organizzazione e le misure di controllo possa considerarsi efficaci e appropriate per assicurare un monitoraggio esaustivo dei rischi di conformità stessi.
Gli Orientamenti prevedono che, qualora l’intermediario faccia parte di un Gruppo, la responsabilità della funzione di controllo della conformità incomba su ciascuna entità ivi appartenente, anche nei casi la Funzione stessa sia stata oggetto esternalizzazione.
La Funzione Compliance svolgerà quindi le attività di monitoring attraverso ispezioni in loco, misurazione del rischio aggregato, relazioni periodiche, sorveglianza mirata delle operazioni, colloqui con il personale dipendente e con un campione rappresentativo della clientela, prendendo sempre in considerazione i controlli di primo livello svolti dalle unità operative, i reclami ricevuti dai clienti e gli esiti delle attività di verifica svolte dalle altre funzioni di controllo.
ORIENTAMENTO 3: obblighi di comunicazione della Funzione Compliance (Art. 16, par. 2 della MiFID II; art. 21, par. 1, lett. e), par. 2, lett. c) e par. 3, lett. b), art. 25, par. 2 e 3, e art. 26, par. 3 e 7, del Regolamento Delegato MiFID II; art. 9, par. 6 e 7, e art. 10, par. 6 e 8 della Direttiva Delegata MiFID II)
I Report delle verifiche di conformità della Funzione Compliance dovrebbero contenere, inter alia:
I. informazioni di carattere generale sull’adeguatezza e l’efficacia delle politiche e delle procedure interne, violazioni e carenze nell’organizzazione interna;
II. una sintesi della struttura e dell’organizzazione della Funzione Compliance;
III. informazioni sulle modalità di monitoraggio e revisione degli obblighi imposti dalla MiFID II, una sintesi delle ispezioni in loco o delle revisioni documentali e delle attività di monitoraggio pianificate;
IV. una sintesi dei provvedimenti adottati e in via di adozione per garantire la conformità ai requisiti applicabili modificati nonché il numero e le risposte fornite ai reclami ricevuti.
La Funzione Compliance dovrebbe esaminare anche gli elementi concernenti il monitoraggio della product governance e le informazioni e le strategie con riguardo agli strumenti finanziari prodotti o distribuiti, allo scopo di valutare se i dispositivi di governance dei prodotti funzionino correttamente.
In osservanza del principio di proporzionalità, gli intermediari dovrebbero adottare un assetto organizzativo in cui la Funzione Compliance e quella incaricata della gestione dei reclami siano separate.
ORIENTAMENTO 4: consulenza e assistenza della Funzione Compliance (Art. 22, par. 2, lett. b) e art. 27, par. 3 del Regolamento Delegato MiFID II)
L’ESMA ribadisce il concetto secondo cui la Funzione Compliance, con il sostegno dell’alta dirigenza, resta garante della promozione e diffusione della “cultura della conformità” all’interno dell’azienda.
A tal fine, l’intermediario è chiamato ad assicurare al proprio personale un’adeguata formazione, sviluppata su base continuativa e con riguardo all’evoluzione normativa e regolamentare di riferimento.
Gli intermediari, quindi, dovrebbero garantire che la Funzione Compliance svolga attività di consulenza e assistenza alla dirigenza e al personale, prendendo parte alla definizione di politiche e procedure sui servizi e attività d’investimento, nonché a tutte le modifiche rilevanti di tipo organizzativo e, monitorando (in collaborazione con il management), se il personale abbia le necessarie conoscenze tecniche e applichi correttamente le politiche e le procedure aziendali.
In tale contesto, la Funzione Compliance dovrebbe essere autorizzata a fornire consulenze in materia di conformità per tutte le decisioni strategiche o i nuovi modelli commerciali, ovvero per l’avvio di una nuova strategia nell’area dei servizi e delle attività di investimento ed in caso di mancata partecipazione dovrebbe documentare tale circostanza all’interno delle proprie relazioni sulle verifiche di conformità.
Da ultimo, gli Intermediari dovrebbero assicurare che la Funzione Compliance partecipi a tutte le modifiche significative che interessano l’organizzazione dell’azienda, nonché alla definizione delle politiche retributive per il personale.
ORIENTAMENTO 5: requisiti organizzativi della Funzione Compliance (Art. 21, par. 1, lett. d) e art. 22, par. 3, lett. a) del Regolamento Delegato MiFID II)
Gli intermediari dovrebbero garantire che la Funzione Compliance sia dotata di risorse umane e informatiche adeguate alle dimensioni e al tipo di servizio e attività d’investimento prestate alla clientela.
L’alta dirigenza, a tal riguardo, assegnando alla stessa fondi correlati al livello di rischio di conformità cui l’intermediario è esposto, ha il compito di monitorare, almeno annualmente, se il numero e le competenze dei dipendenti possano considerarsi adeguate.
Il personale addetto alla Funzione Compliance deve avere accesso in qualsiasi momento a tutte le banche dati e registrazioni del caso (anche telefoniche se esistenti) mentre al Responsabile della Funzione dovrebbe essere consentito di accedere a tutti i sistemi informativi pertinenti, nonché alle relazioni di audit interno o esterno o ad altre comunicazioni destinate all’alta dirigenza o alla funzione di vigilanza, anche partecipando alle riunioni dell’alta dirigenza e del top management. La mancata concessione di tale diritto dovrebbe essere documentata e motivata per iscritto.
ORIENTAMENTO 6: conoscenze e competenze della Funzione Compliance (Art. 21, par. 1, lett. d) e art. 22, par. 3, lett. a) e b) del Regolamento Delegato MiFID II)
Il personale della Funzione Compliance deve disporre della necessaria “autorità”, ovvero delle conoscenze e competenze personali pertinenti allo svolgimento delle attività svolte e riconosciute in maniera esplicita da parte dell’alta dirigenza dell’intermediario.
Il Responsabile Compliance deve possedere un adeguato livello di esperienza professionale e conoscenza specifica delle diverse attività dell’intermediario, esercitando elevati standard di etica professionale e di integrità personale, nonché doti professionali atte a valutare i rischi di conformità e i conflitti di interesse inerenti all’attività dell’impresa
ORIENTAMENTO 7: permanenza della Funzione Compliance (Art. 22, par. 2, comma 1 del Regolamento Delegato MiFID II)
Gli Intermediari devono garantire la continuità della Funzione Compliance anche in caso di assenza del Responsabile, le cui responsabilità e competenze dovrebbero essere definite in una “politica della conformità” che tenga conto della portata e della natura dell’attività d’investimento svolta dall’intermediario, unitamente all’’attività di monitoraggio che la stessa è chiamata a svolgere nei settori maggiormente esposti al rischio di non conformità.
ORIENTAMENTO 8: indipendenza della Funzione Compliance (Art. 22, par. 3, lett. b), d) ed e) del Regolamento Delegato MiFID II)
All’interno della struttura organizzativa, la Funzione Compliance deve essere collocata in una posizione tale da consentirne l’indipendenza. L’alta dirigenza e/o altre unità, quindi, non possono emettere istruzioni o influenzare in alcun modo il personale e il Responsabile della Funzione Compliance.
ORIENTAMENTO 9: proporzionalità della Funzione Compliance (Art. 22, par. 4 del Regolamento Delegato MiFID II)
Viene conferita maggiore enfasi al “principio di proporzionalità” rispetto all’efficacia della Funzione Compliance, secondo il quale gli intermediari devono tener conto, in termini organizzativi e di risorse, delle più idonee misure atte a garantire l’efficacia della funzione stessa, ai sensi dell’Art. 22 (4) del Regolamento Delegato MiFID II.
Un intermediario non tenuto a soddisfare i requisiti di cui all’art. 22 del Regolamento Delegato MiFID II, può combinare la funzione legale con quella di controllo della conformità. Tuttavia, qualora svolga attività più complesse o di maggiori dimensioni, dovrebbe evitare tale combinazione se viene a compromettersi l’efficacia dei controlli di conformità. In caso di esenzione, gli intermediari devono garantire che i conflitti di interesse tra i compiti svolti dai soggetti pertinenti siano il più possibile ridotti al minimo e mantenere evidenza delle motivazioni, affinché l’Autorità competente sia in grado di effettuare delle verifiche.
ORIENTAMENTO 10: combinazione della Funzione Compliance con altre funzioni di controllo (Art. 22, par. 4, lett. d) del Regolamento Delegato MiFID II)
L’Orientamento in esame statuisce la preferenza nel mantenere separate le diverse funzioni di controllo. Tuttavia, la combinazione della Funzione Compliance con quella dell’Audit può essere consentita purché non vengano compromesse l’efficacia e l’indipendenza della prima. L’eventuale aggregazione di tali funzioni dovrebbe essere documentata e motivata per consentire alle Autorità competenti di valutarne l’adeguatezza.
Invece, la combinazione della Funzione Compliance con altre unità di controllo di pari livello (ad esempio, quella di prevenzione del rischio riciclaggio) può essere accettabile se non genera conflitti di interesse o non compromette l’efficacia della prima.
Se la Funzione Compliance è combinata con altre funzioni di controllo o se la prima ha anche la responsabilità di altri compiti in altre aree normative aziendali, l’intermediario è tenuto a fornire un’adeguata dotazione di risorse finanziarie e tecniche.
In ogni caso, il personale addetto della Funzione Compliance non deve partecipare alle attività che è chiamato a monitorare.
ORIENTAMENTO 11: esternalizzazione della Funzione Compliance (Art. 22 e 31 del Regolamento Delegato MiFID II)
Viene ribadito dall’ESMA il principio per cui gli intermediari, tenuto conto del principio di proporzionalità di cui all’art 22 del Regolamento Delegato MiFID II, in caso di procedura di esternalizzazione della Funzione Compliance, devono garantire il soddisfacimento di tutti i requisiti applicabili affinché la Funzione rimanga permanente, ovvero il fornitore di servizi deve poter svolgere le sue funzioni in modo continuativo.
In ogni caso, l’outsourcing della Funzione Compliance deve essere tale da (i) non comprometterne la qualità e l’indipendenza, (ii) da non generare rischi operativi aggiuntivi e (iii) indebolire il generale controllo interno.
ORIENTAMENTO 12: revisione della Funzione Compliance da parte dell’Autorità competente (Art. 7 della MiFID II e art. 22 del Regolamento Delegato MiFID II)
L’Autorità competente sarà chiamata a riesaminare periodicamente le modalità con cui le imprese di investimento intendano rispettare e mantenere i requisiti della Funzione Compliance, valutando se la stessa disponga di adeguate risorse (umane, tecniche, finanziarie, etc.) e che sia efficacemente organizzata.
Nell’ambito del processo di vigilanza continuativa, l’Autorità competente ha il compito di verificare se le misure adottate dalla Funzione Compliance siano appropriate e se la stessa adempia in modo adeguato alle proprie responsabilità.
CONCLUSIONI
Rileggere quanto sopra rende, con forte impatto, la consapevolezza di quanto sinora sia stato fatto rispetto agli esiti dei lavori del Comitato di Basilea per la vigilanza bancaria che nel 2005 istituì la Funzione Compliance, chiamandola ad intervenire nei sistemi di governo interni e societari, prima delle banche, poi degli altri operatori finanziari ed infine delle altre libere imprese.
La centralità e lo sviluppo della Funzione Compliance è stato da un lato rapido, anche in virtù di un percorso normativo e legislativo che ne ha definito il perimetro e l’ambito di attività all’interno dei sistemi organizzativi aziendali, fornendo regole da seguire e criteri cui ispirarsi; dall’altro lato, mostrando la complessità delle materie regolate dal quadro normativo come declinate nei diversi ambiti regolamentari nazionali, ha comportato nel tempo, talune fisiologiche difficoltà applicative ed operative, soprattutto nei contesti aziendali meno articolati o strutturati.
Proprio su questa linea, l’ESMA, nel rimarcare quanto già affermato nei precedenti Orientamenti del 2012, detta nuovamente il passo al processo evolutivo della Funzione Compliance e afferma, questa volta con evidenza, la centralità della stessa all’interno del sistema dei controlli interni e del governo societario, soprattutto in chiave MiFID.
In generale, gli Orientamenti indicano nella professionalità, competenza e autorevolezza le qualità di cui la stessa Funzione debba disporre per apportare valore aggiunto, a beneficio della propria organizzazione societaria, degli sviluppi organizzativi e di business, degli azionisti e degli investitori, a tutela del più ampio patrimonio aziendale e a contenimento del rischio reputazionale cui l’intermediario è esposto.
Richiamando l’attenzione sulla metodologia, da adottare anche attraverso il “compliance risk assessment”, l’ESMA, indirizza la Funzione Compliance nella diffusione “proporzionata” di una cultura orientata alla conoscenza ed alla gestione del rischio di non conformità all’interno dei contesti organizzativi degli operatori finanziari e restituisce una Funzione a vocazione sempre più consulenziale e trasversale, tra l’altro con effetto mitigatorio ex ante sui rischi di non conformità, nel rispetto delle prerogative normative di autonomia e indipendenza di giudizio.
Con la certezza che anche le Autorità di Vigilanza nazionali forniranno ogni possibile contributo al fine di agevolarne il processo adattivo, per la Funzione Compliance si prospetta un nuovo inizio: quello di concorrere all’applicazione operativa di normative in continua evoluzione e spesso articolate, in modo da consentire agli intermediari di dotarsi di strumenti adeguati, efficaci ed efficienti, volti ad affrontare con la necessaria serenità, i rischi anche normativi, derivanti da un mercato sempre più complesso e competitivo … che non dobbiamo dare per scontato!
Intervento di:
Nicola MITIDIERI, Head of Compliance and Anti Money Laundering – Dea Capital RE SGR
Gianluca GREA, Koiné Società tra Avvocati, Socio Fondatore
Per approfondimenti e normative, consultare i seguenti link e/o riferimenti:
