FUNZIONE DI COMPLIANCE E RESPONSABILITÀ DI … · legislativo e delle indicazioni provenienti dagli organismi di tutela ... nel corso del tempo, una proliferazione di ... del concetto

Università degli Studi Dipartimento didi Brescia Economia Aziendale

Dicembre 2008

Paper numero 86

Giuseppina GANDINI - Francesca GENNARI

FUNZIONE DI COMPLIANCE E RESPONSABILITÀ DI GOVERNANCE

Università degli Studi di BresciaDipartimento di Economia AziendaleContrada Santa Chiara, 50 - 25122 Bresciatel. 030.2988.551-552-553-554 - fax 030.295814e-mail: [email protected]

AR

TI G

RA

FIC

HE

AP

OLL

ON

IO

cp 21x297 paper 86.qxd:cp 21x297 paper 83.qxd 04/02/09 08:42 Pagina 1

FUNZIONE DI COMPLIANCE

E RESPONSABILITÁ DI GOVERNANCE

di Giuseppina GANDINI

Ordinario di Economia Aziendale Università degli Studi di Brescia

e

Francesca GENNARI Ricercatore di Economia Aziendale

Università degli Studi di Brescia

Paper presentato alla 2nd European Risk Conference “Risk and Governance”

Milano, 11-12 Settembre 2008.

Indice

1. Introduzione........................................................................................... 1

2. Conformità alle norme e responsabilità di impresa............................... 2

3. La funzione di compliance nelle banche ............................................... 6

4. L’Organismo di vigilanza.................................................................... 11

5. L’analisi empirica sull’informativa relativa all’OdV delle banche quotate ..................................................................................... 17

6. Conclusioni.......................................................................................... 23

Bibliografia.............................................................................................. 25

Funzione di compliance e responsabilità di governance

1. Introduzione

Il rispetto delle norme, di origine esogena o endogena, nonché la correttezza e la trasparenza nei comportamenti, si manifestano quali presupposti imprescindibili di efficacia nei processi di governo di impresa. Ciò assume particolare rilevanza in corrispondenza dell’attività bancaria a causa sia dell’evoluzione dei mercati finanziari in termini di prodotti offerti, modalità di trasferimento del rischio, operatività sui contesti internazionali, sia dell’inevitabile rapporto di tipo fiduciario che si istituisce fra istituto bancario e stakeholders.

Nel contesto descritto assume rilievo il concetto di compliance, inteso come conformità dei comportamenti aziendali a norme, provenienti dall’esterno o maturate internamente, di tipo vincolante o di autodisciplina.

La compliance si traduce, in sintesi, in un’attività a carattere preventivo – diffusa presso l’intera organizzazione aziendale sotto la guida di un responsabile, che si configura quale intermediario fra gli organi di corporate governance e l’organizzazione stessa – con lo scopo di evitare il rischio di non conformità dei comportamenti di impresa alle norme e di suggerire, ove si dovessero riscontrare delle discordanze, opportuni interventi correttivi.

L’esercizio efficace dell’attività di compliance tutela la banca di fronte al rischio di incorrere in sanzioni giudiziarie o amministrative alle quali sono correlate perdite sia finanziarie che reputazionali e di immagine.

Tra le disposizioni normative più significative atte a regolare il rapporto fra attività di impresa e rischio di non conformità alle norme – e connessa responsabilità penale ed amministrativa – si richiama, in questa sede, il D.Lgs. 231/01 (e successivi aggiornamenti) “Disciplina della responsabilità amministrativa delle persone giuridiche”. Tale normativa è finalizzata a promuovere l’adozione di strumenti (modelli di organizzazione, di gestione e di controllo; Organismo di vigilanza) atti ad escludere totalmente o parzialmente la responsabilità dell’ente nelle ipotesi di commissione di particolari tipologie di reato.

Le banche sono soggette ad un sistema integrato e pervasivo di controlli sottoposto alla supervisione dell’Autorità di vigilanza e comprendente: i controlli promossi dagli organi di amministrazione e di controllo di corporate governance; i sistemi di controlli effettuati da soggetti esterni; i sistemi di controllo interno. Una simile struttura di verifiche dovrebbe, di per sé, prevenire la commissione di reati, ivi compresi quelli di cui al D. Lgs. 231/01. Ciò non esclude, tuttavia, che le imprese bancarie provvedano a verificare l’adeguatezza del sistema di controlli esistente a fronte delle prescrizioni del Decreto e, ove necessario, ad apportare le modifiche ritenute più opportune al fine di promuovere un’attività ispirata, in ogni sua fase realizzativa, ai principi di conformità alle norme, trasparenza e verificabilità.

1

Giuseppina Gandini – Francesca Gennari

La ricerca ha avuto come obiettivo, primariamente, l’analisi del dettame legislativo e delle indicazioni provenienti dagli organismi di tutela e di vigilanza per l’attuazione dell’attività di compliance; quindi l’esame della struttura dell’Organismo di vigilanza (OdV), organo preposto al controllo del funzionamento dei modelli di gestione adottati nel rispetto del Decreto. La configurazione dell’OdV, infatti, appare controversa in quanto, a fronte del silenzio del legislatore, essa può ricondursi ad organi aziendali già esistenti e deputati ad altre funzioni o ad un organismo appositamente creato per lo svolgimento dei compiti di vigilanza ad esso assegnati.

Le considerazioni teoriche sono state supportate da un’analisi empirico/induttiva, condotta in Aprile 2008, sull’informativa veicolata mediante il sito internet dalle banche quotate sul Mercato di Borsa Italiana, con la finalità di valutare la qualità della comunicazione relativa all’adozione del Decreto ed alla composizione dell’OdV, nonché di evidenziare le principali situazioni di criticità1.

2. Conformità alle norme e responsabilità di impresa

I fenomeni di globalizzazione dei mercati e delle informazioni, la crescita della complessità dei rapporti intra ed interaziendali, la necessità di stabilire un rapporto fiduciario con i propri interlocutori hanno indotto ad una rivalutazione delle interdipendenze fra rispetto delle norme, vincolanti o volontarie, e responsabilità legale, economica, sociale ed ambientale di impresa, finalizzata a garantire acquisizione di consensi e di risorse.

Il miglioramento della governance – intesa come: relazioni fra le funzioni amministrative e di controllo; scelte di governo finalizzate ad ottimizzare il rapporto risorse, attività, risultati; istituzione di relazioni con gli stakeholder orientate alla creazione globale di valore – si configura quale requisito basilare per garantire uno sviluppo duraturo dell’impresa bancaria improntato ai principi di correttezza comportamentale e di equità nella distribuzione del valore creato.

In questi ultimi anni si è, così, assistito: da una parte, alla volontà, o alla necessità, di operare nel rispetto di un concetto ampio di responsabilità, e, dall’altra parte, all’incremento di complessità delle relazioni che caratterizzano i rapporti fra le banche ed i propri clienti2, ai quali le stesse

1 La ricerca è frutto della riflessione congiunta degli autori. Tuttavia le singole parti

possono essere così attribuite: a Giuseppina Gandini i paragrafi 1 e 6; a Francesca Gennari i paragrafi 2,3,4,5.

2 Sul ruolo assunto dalle banche, in particolare nei rapporti con le altre imprese, anche con riguardo al contesto internazionale, si rinvia a Gandini G., Governo di impresa e orientamento competitivo al governo bancario, FrancoAngeli, Milano, 2008.

2


concedono capitale di credito o alla cui proprietà appartengono mediante la concessione di capitale di rischio. La situazione succitata trova un ulteriore elemento di complessità nell’operatività transnazionale sia degli istituti di credito, sia delle imprese con le quali essi intrattengono relazioni significative.

Il ruolo di rilievo svolto dalle banche nei sistemi economici e la ricerca di efficaci relazioni con gli stakeholder hanno, pertanto, implicato, nel corso del tempo, una proliferazione di norme, vincolanti o autoregolamentari, prodotte sia a livello nazionale che internazionale3, prevalentemente orientate a favorire la trasparenza delle strutture di governo delle banche e dei relativi comportamenti.

Ad evidenza, ad una tale complessità regolamentare si affianca anche un elevato rischio – imputabile a colpa o a negligenza nel comportamento degli organi di corporate governance o di governance4 – di non conformità alle norme. Ne deriva che, accanto ad una responsabilità personale degli individui, può essere individuata anche una responsabilità dell’ente in quanto tale, fondata sulla relazione che lega l’impresa alle persone che la rappresentano: le intenzioni e le azioni di coloro che agiscono fisicamente possono, cioè, essere assimilate alle intenzioni ed alle azioni dell’impresa considerata persona giuridica.

In linea generale, a livello internazionale la problematica connessa all’imputazione all’ente di una responsabilità diretta in caso di inosservanza normativa o di illecito è affrontata diversamente, nonostante i recenti tentativi di armonizzazione (soprattutto da parte dell’OECD5 e del Consiglio d’Europa6). Il problema si pone, in particolare, con riguardo alla

3 Si vedano, ad esempio: i numerosi interventi promossi dal Comitato di Basilea per la

Vigilanza bancaria orientati alla convergenza internazionale sulle regole da seguire per assicurare l’equilibrio patrimoniale delle banche; le direttive comunitarie sugli abusi di mercato (2003/6/CE) e sul controllo di conformità, la gestione dei rischi e la revisione interna delle banche, con specifico riferimento ai servizi di investimento (2006/73/CE); gli interventi del legislatore nazionale in recepimento delle direttive comunitarie; i regolamenti emessi dalla Consob, per le banche quotate; i provvedimenti di Banca d’Italia.

4 Per approfondimenti sui concetti di corporate governance e di governance si rimanda a Salvioni D.M. (a cura di), Corporate governance, controllo e trasparenza, FrancoAngeli, Milano, 2007.

5 Cfr. OECD, Oecd Bribery Convention, 1999. 6 Si richiamano i molteplici interventi del Consiglio d’Europa per contribuire

all’evoluzione normativa in materia di responsabilità delle persone giuridiche. Si vedano, ad esempio, le seguenti Raccomandazioni: (77)28 “Contributo del diritto penale alla protezione dell’ambiente”; (81)12 “Criminalità economica”; (82)15 “Ruolo del diritto penale sulla protezione del consumatore”; (88)18 “Responsabilità delle imprese con personalità giuridica per le offese commesse nell’esercizio della loro attività”.

3


responsabilità penale in quanto caratterizzata da un’accezione fortemente personalistica.

I principali Paesi a common law hanno da tempo acquisito il concetto secondo cui l’ente è penalmente perseguibile, seppur sulla base di approcci differenti: secondo la cosiddetta identification theory (o alter ego model), adottata dalla Gran Bretagna e dal Canada, il reato compiuto dai soggetti che occupano posizioni di vertice è automaticamente attribuito all’ente. La giurisprudenza degli Stati Uniti7 è, invece, maggiormente orientata alla vicarious liability theory (o respondeat superior model), la quale prevede che un ente possa essere ritenuto responsabile per gli atti compiuti dai dipendenti di qualunque livello, nello svolgimento delle rispettive funzioni, dai quali sia derivato un beneficio per l’azienda. Il Codice penale australiano ha formalmente recepito un’impostazione dottrinale propria di alcune giurisdizioni americane, codificando il concetto di corporate culture, secondo cui la colpa dell’ente è imputabile all’esistenza, all’interno dell’impresa, di una cultura atta ad incoraggiare, o quanto meno a tollerare, il mancato rispetto delle norme.

I Paesi a civil law, viceversa, hanno manifestato un netto ritardo nell’accettazione di una responsabilità penale propria dell’ente – attualmente ancora negata in alcuni Paesi – soprattutto per effetto dell’influenza del concetto di diritto romano secondo il quale societas delinquere non potest: le imprese sono entità astratte, prive di intenzionalità e, quindi, non in grado di commettere reati8. A fronte di tale diversità, a livello europeo si assiste ad un graduale tentativo di armonizzazione con riguardo alla disciplina relativa alla responsabilità delle persone giuridiche9.

7 Il Model Penal Code statunitense propende, invece, per la teoria dell’identificazione

limitando la responsabilità agli atti compiuti dagli individui che occupano posizioni di vertice, ma con la possibilità di addurre una possibile due diligence defense. Recentemente alcune giurisdizioni hanno contemplato il concetto di organisational liability secondo il quale l’ente non è responsabile per effetto dei reati commessi dai singoli individui quanto semmai per effetto di quei fattori aziendali (procedure, politiche aziendali, clima, corporate culture, ecc.) che hanno incoraggiato o permesso la commissione del reato. La nozione praticabile di colpa è allora riconducibile alla mancanza o alla violazione di regole di corretta policy aziendale nelle quali si manifesta il concetto di volontà dell’ente. Secondo un’ampia dottrina, cioè, il reato dell’apice determina una presunzione relativa di colpa aziendale che l’ente potrà superare dimostrando di essere stato “prudente e diligente” nella prevenzione del reato.

8 Ad esempio, in Germania è ammessa la responsabilità amministrativa dell’ente, mentre nei confronti della responsabilità penale di impresa l’atteggiamento del legislatore è generalmente sfavorevole. La Francia, che fino al 1991 ha rigettato il principio di responsabilità penale delle persone giuridiche, lo accoglie invece pienamente con la riforma del Codice penale.

9 Si evidenzia, in tale ambito, la prassi del cosiddetto diritto penale comunitario.

4


Con specifico riferimento all’Italia il primo intervento significativo in questo ambito è avvenuto con il D. Lgs. 231/01 (più volte integrato con riferimento ai reati previsti) finalizzato: da una parte, a formalizzare la responsabilità penale (seppure a partire da una responsabilità di ordine amministrativo) delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica; dall’altra parte, a proporre taluni requisiti di compliance (adozione di adeguati modelli di organizzazione ed attivazione di opportuni organismi di controllo) il cui rispetto garantisca all’ente in oggetto, pur in presenza di reati, un’esenzione di responsabilità o una riduzione delle sanzioni.

Per affrontare adeguatamente il rischio correlato alla complessità normativa vigente, cioè, è opportuno: implementare e/o valutare la coerenza del modello di governo e di controllo adottato con le responsabilità attribuite a presidio delle aree di business aziendale; sviluppare un sistema integrato di compliance che consenta di monitorare adeguatamente il rapporto fra il sistema di controllo interno e la tutela della conformità alle disposizioni normative10.

La previsione, all’interno del Decreto, di strumenti finalizzati all’esercizio di un’attività che, garantendo la conformità alle norme, riduca il rischio correlato alla commissione di reati induce, in questa sede, ad un approfondimento del concetto di compliance.

La compliance aziendale si sostanzia in un’attività volontaria ed a carattere cautelativo11 con la finalità di prevenire il rischio di non conformità dell’attività di impresa alle norme e di suggerire, ove si riscontrino discordanze, le più opportune soluzioni, al fine di:

• ridurre il rischio di non conformità, ossia il rischio di incorrere in sanzioni giudiziarie o amministrative e subire conseguenti perdite in termini sia economico finanziari che di reputazione e di immagine;

• garantire la diffusione graduale all’interno dell’impresa di una cultura della correttezza e della conformità;

10 Sul sistema di controllo interno si rimanda a Gandini G., “ I sistemi di controllo

interno”, in Salvioni D.M. (a cura di), cit., 2007. 11 In particolare alla funzione di compliance è affidato il compito di: prevenire gli

scostamenti fra le procedure aziendali e l’insieme delle regole di provenienza esterna ed interna; assistere le altre funzioni aziendali nell’applicazione delle norme al fine di ridurre al minimo il rischio di non conformità; predisporre interventi formativi per adeguare le procedure interne alle norme; coordinare e garantire l’attuazione degli adempimenti richiesti dalle norme; segnalare le più recenti novità normative al fine di aggiornare periodicamente la documentazione prodotta dall’azienda; risolvere situazioni di discordanza fra le norme in vigore e la specifica situazione aziendale; assicurare le relazioni con le autorità e gli organi di controllo interni ed esterni.

5


• trasmettere trasparenza comportamentale prima, e comunicazionale poi, con una conseguente crescita di credibilità nei confronti degli stakeholder interni ed esterni e, quindi, una maggiore capacità di attrazione di consensi e di risorse12.

Specifici riferimenti normativi relativi alla funzione di compliance sono, in realtà, scarsi sia a livello internazionale che nazionale; tale situazione non impedisce, tuttavia, lo svolgimento di tale attività anche in modo non formalizzato, da parte cioè degli organi e delle funzioni già deputati ai controlli interni di impresa. In altri casi, viceversa, si assiste ad una formalizzazione della compliance sotto la responsabilità di un soggetto dedicato (Chief Compliance Officer) incaricato di gestire adeguatamente i rapporti fra l’attività di controllo svolta dalla funzione in oggetto ed il controllo insito nell’operatività di altre funzioni aziendali.

Ne deriva che l’introduzione di un’attività di compliance su base volontaria deve essere il risultato di una valutazione riguardante il rapporto fra i possibili benefici ad essa correlabili ed i costi richiesti all’organizzazione nel suo complesso. E’, pertanto, necessario identificare con chiarezza i requisiti propri a tale funzione (soggetti coinvolti, oggetti di osservazione, risorse disponibili, processi attivabili) soprattutto con riguardo alla posizione che essa andrà ad assumere nell’ambito del sistema dei controlli interni di impresa.

3. La funzione di compliance nelle banche

L’attivazione di una funzione di compliance negli istituti bancari assume un ruolo di estremo rilievo per la creazione di valore nel lungo termine, dal momento che: informa gli organi amministrativi a più alto rischio; promuove e mira a garantire la conformità alle norme, preservando la banca dagli effetti negativi correlati ad un mancato rispetto delle stesse; incrementa la fiducia degli stakeholders nella correttezza della gestione

12 Anche il US Federal Sentencing Guidelines Manual (Chapter 8 – Sentencing of

Organizations, 2007) individua nell’esistenza di un effective compliance and ethics program uno dei due elementi che mitigano le sanzioni correlate ad atti imputabili alla responsabilità di impresa. Lo scopo dell’introduzione di tali “modelli preventivi” è, in primo luogo quello di prevenire una condotta contraria alle norme e, in secondo luogo, quello di incoraggiare la diffusione di una cultura aziendale improntata ai valori del rispetto. Infatti: “to have an effectice compliance and ethics program an organization shall (1) exercise due diligence to revent and detect criminal conduct and (2) otherwise promote an organizational culture that encourages ethical conduct and a committment to compliance with the law”.

6


dell’istituto e dei comportamenti, favorendo l’attribuzione di ulteriori risorse atte ad alimentare ulteriori opportunità di creazione di valore.

A livello internazionale, il Comitato di Basilea ha emesso un documento, sintesi di una molteplicità di interventi precedenti, specificamente rivolto al settore bancario e relativo alle competenze, ai requisiti ed ai soggetti coinvolti nella funzione di compliance13.

La conformazione della funzione di compliance è, inoltre, espressamente disciplinata dalla Direttiva di II livello 2006/73/CE (cosiddetta MiFID), nella quale si impone alle imprese di investimento di istituire e mantenere una funzione di controllo della conformità14 (art. 6 comma 2).

Attualmente in Italia il riconoscimento della funzione di compliance è ascrivibile principalmente a due interventi: il Provvedimento di Banca d’Italia n.688006 “Disposizioni di Vigilanza. La funzione di conformità (compliance)” emesso in luglio 200715 – che impone l’istituzione di una funzione di compliance separata dalla funzione di internal auditing entro dodici mesi dalla pubblicazione del Provvedimento stesso – ed il Regolamento congiunto Banca d’Italia e Consob in materia di “Organizzazione e procedure degli intermediari” emesso in ottobre 200716.

L’attenzione normativa verso l’attività di compliance nelle imprese bancarie trova precipua giustificazione nel tentativo di offrire maggiori garanzie di tutela ai diversi interlocutori sociali (piccoli risparmiatori,

13 Basel Committee on Banking Supervision, Compliance and the compliance function

in banks, April 2005 14 A tale funzione si richiede il rispetto dei seguenti requisiti: disporre dell’autorità, delle

risorse e delle competenze necessarie ed avere adeguato accesso alle informazioni pertinenti; essere presidiata da un responsabile; essere caratterizzata dalla garanzia di obiettività mediante il divieto, per coloro che fanno parte di tale funzione, di partecipare alla prestazione dei servizi di investimento o all’esercizio di attività sottoposte al controllo della funzione di compliance. I compiti fondamentali della funzione di controllo della conformità secondo la MiFID si sostanziano nel: controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure messe in atto dall’impresa per l’osservanza degli obblighi discendenti dalla MiFID e delle misure adottate per rimediare ad eventuali carenze negli obblighi suddetti; fornire consulenza ed assistenza ai soggetti rilevanti incaricati dei servizi di investimento ai fini dell’adempimento degli obblighi imposti dalla MiFID.

15 Tale Provvedimento è stato in realtà anticipato da un precedente Provvedimento, sempre di Banca d’Italia, dell’aprile 2005 correlato al documento di Basilea in materia di gestione collettiva del risparmio in cui si segnala al Tit.IV, Sez. II, cap.3: “[…] controlli sulla conformità alle disposizioni di legge, ai provvedimenti delle autorità di vigilanza e alle norme di autoregolamentazione nonchè a qualsiasi altra norma applicabile alle SGR (“compliance”)”.

16 In attuazione del TUB (D.Lgs. 385/1993), del TUF (D.Lgs. 58/1998) e con finalità di recepimento delle Dir. 2004/39/CE (MiFID), Dir. 2006/48/CE (CRD), Dir. 2006/49/CE (CAD). In particolare l’art. 16 del Titolo II della Parte 2 del Regolamento in oggetto è esplicitamente dedicato al controllo di conformità.

7


investitori, imprese) mediante procedure formalizzate di correttezza amministrativa.

Il rischio di non conformità alle norme manifesta, in generale, una maggiore concentrazione in corrispondenza di quelle aree di business sottoposte a numerose disposizioni regolamentari per effetto di un grado elevato di rischiosità (attività di intermediazione, trasparenza verso i clienti, gestione dei conflitti di interesse, ecc.). Quanto affermato non esclude, tuttavia, che situazioni di mancato rispetto normativo si realizzino in corrispondenza di tutti i livelli aziendali, così che l’attività di prevenzione propria della funzione di compliance deve assumere un carattere diffuso e pervasivo nell’organizzazione.

Ne deriva che l’esercizio concreto dell’attività di compliance è affidato, conformemente alle singole responsabilità, a diversi soggetti di governance i quali rispondono del loro operato ad un preposto indipendente (Chief Compliance Officer – CCO) deputato a garantire l’efficace svolgimento dell’intero processo mediante17: il costante monitoraggio delle disposizioni normative che gravano sull’azienda; l’individuazione di opportune procedure atte a ridurre il rischio di non conformità fra l’attività della banca e le norme individuate; la predisposizione di opportuni flussi informativi da e verso gli organi di governance, i soggetti coinvolti nell’espletamento della funzione di compliance, gli organi esterni interessati.

Alle banche viene, pertanto, riconosciuta ampia discrezionalità nella scelta delle soluzioni organizzative più idonee per l’implementazione della funzione di conformità, la quale prevede, in linea generale, lo svolgimento delle seguenti fasi:

• l’accertamento (assessment): l’intero processo prende avvio dall’individuazione delle aree a maggiore rischio di non conformità al fine di valutare la validità dei controlli già esistenti su quelle aree e l’eventuale necessità di apportare modifiche organizzative o procedurali;

• la gap analisys: il confronto fra le direttive predisposte nella fase di accertamento e le situazioni di rischio effettivamente realizzatesi sono ascrivibili a due principali cause: il mancato o errato recepimento delle linee proposte; la consapevolezza di una rischiosità residuale considerata non eliminabile;

• nell’eventualità di un disallineamento evidenziato nella fase precedente è opportuno procedere, dapprima, con la rimozione delle

17 Ad evidenza l’efficacia dell’intero processo dipende anche dalla diffusione della

cultura della conformità e del controllo presso l’intera organizzazione aziendale, mediante una costante attività di formazione e di sensibilizzazione ed, eventualmente, l’istituzione di un sistema disciplinare interno atto a sanzionare i comportamenti non conformi.

8


criticità individuate e, quindi, con il costante monitoraggio dei relativi processi al fine di verificarne l’effettiva validità o provvedere ad una successiva modifica.

Ferma restando la discrezionalità delle banche nell’organizzazione della funzione di conformità (che può anche essere esternalizzata), in coerenza con le proprie peculiarità dimensionali ed operative, nonché con l’assetto esistente per la gestione dei rischi, è necessario che la funzione in oggetto: sia indipendente da altre funzioni, con particolare riguardo a possibili conflitti di interesse; sia dotata di risorse quantitativamente e qualitativamente adeguate ai compiti da svolgere; abbia accesso a tutte le informazioni rilevanti per la propria attività.

Come si è accennato, l’ambito di osservazione della compliance è molto vasto potendo coinvolgere l’attività svolta sia dagli organi di vertice sia dai membri dell’organizzazione.

Si rammenta, in questa sede, che gli organi di corporate governance (di amministrazione e di controllo) assumono la responsabilità della supervisione complessiva del sistema di gestione del rischio di non compliance al quale sono, allo stesso tempo, sottoposti (ad esempio con riguardo alle procedure di verifica dell’indipendenza degli amministratori nel rispetto della legge sulla tutela del risparmio).

Ammesso che tali organi (in particolare l’organo amministrativo, con il parere dell’organo di controllo) sono deputati ad istituire ed a valutare l’adeguatezza della funzione di compliance, la normativa esistente non propone soluzioni univoche con riguardo al soggetto a cui compete la gestione effettiva della suddetta funzione18. Il CCO può, cioè, essere un singolo individuo o un organo collegiale, ubicato in posizione intermedia fra gli organi di corporate governance, che provvedono alla relativa nomina e revoca, e le unità organizzative sottostanti19. Sotto la responsabilità del CCO la funzione può essere costituita da personale dipendente dedicato totalmente o parzialmente all’attività di controllo di conformità, eventualmente con l’ausilio di collaboratori esterni.

18 La nomina e la revoca del CCO devono essere comunicate tempestivamente alla

Banca d’Italia. 19 L’organo amministrativo, in particolare, interloquisce con il CCO mediante la figura

di un amministratore delegato a ciò preposto. Si veda anche il dettato delle US Federal Sentencing Guidelines, 2007: “Specific individual(s) within the organization shall be delegated day to day operational responsibility for the compliance and ethics program. Individual(s) with operational responsibility shall report periodically to high level personnel and, as appropriated, to the governin authority – Board of Directors – or an appropriate subgroup of the governino authority, on the effectiveness of the compliance and ethics program”.

9


La funzione di compliance è parte integrante del sistema dei controlli interni delle banche20; è, pertanto, necessario definire con chiarezza i rapporti con le altre forme di controllo interno, sia con riguardo ai soggetti coinvolti sia con riguardo agli oggetti di osservazione.

Le disposizioni normative internazionali e nazionali21 si limitano ad imporre la non coincidenza fra la funzione di conformità e la revisione interna, essendo la prima sottoposta a verifiche periodiche da parte della seconda. Non appaiono, tuttavia, definiti con precisione i perimetri di controllo imputabili alle funzioni in oggetto: è indubbio, infatti, che fra gli obiettivi dell’internal auditing rientri anche la verifica della conformità delle procedure interne rispetto alle norme, basata su accertamenti di esistenza e di corrispondenza. Il rischio di sovrapposizione degli obiettivi, e di conseguente duplicazione delle attività, è superato quando la funzione di compliance opera mediante accertamenti analitici su tutti i processi esposti al rischio di non conformità, interagendo ed integrando, così, le verifiche di internal auditing, spesso effettuate su base campionaria e focalizzate solo sulle aree a maggiore rischiosità potenziale con la finalità di garantire le generali efficacia ed efficienza dei processi per la tutela del patrimonio aziendale.

Allo stesso modo, un’efficace gestione del rischio impone di considerare le relazioni fra funzione di compliance e risk management: la prima manifesta un ambito di osservazione generalmente più circoscritto, in quanto focalizzata soltanto su quei processi a rischio di non conformità normativa, mentre il secondo si sostanzia nell’identificazione, e dove possibile nella gestione, di tutti i possibili fattori di rischio.

Infine, fra i sistemi di controllo sviluppati internamente all’organizzazione si annovera il controllo della gestione, insieme di strutture e di processi volti ad agevolare la coerente e sintonica attuazione delle decisioni di governo favorendo, al contempo, il contenimento dei rischi. Ad evidenza, situazioni di non conformità alle norme possono essere generate da interventi gestionali, così come esigenze di compliance possono indurre a modificare definiti processi tipici della gestione. La funzione di conformità, cioè, può essere attivamente coinvolta nell’ambito del sistema di controllo della gestione (che ha, tuttavia, una valenza meno ispettiva rispetto ad altre tipologie di controllo) quando anch’essa partecipi alla realizzazione delle finalità ultime aziendali mediante la delega di responsabilità su specifici obiettivi gestionali.

20 Cfr. Banca D’Italia, Disposizioni di vigilanza, cit. 21 Cfr. Basel Committee on Banking Supervision, Compliance and the compliance

function in banks, cit. e Banca D’Italia, Disposizioni di vigilanza, cit.

10


Pare, da ultimo, importante sottolineare che, in un’ottica di massimizzazione del rapporto costi/benefici, sia indispensabile sfruttare le sinergie emergenti nell’ambito delle diverse forme di controllo mediante: da una parte, l’istituzione di opportuni flussi comunicazionali gestiti nell’ambito di un sistema informativo completo, flessibile, tempestivo ed incentrato sul trasferimento selettivo delle informazioni; dall’altra parte, la diffusione di logiche basate sulla cultura del controllo al fine di garantire l’ottimalità dei comportamenti nelle relazioni interne e con gli stakeholder esterni.

4. L’Organismo di vigilanza

Il D. Lgs. 231/01 sulla Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000 n.300, modificato nel 2007, recepisce una molteplicità di norme di provenienza internazionale e nazionale22 finalizzate: da una parte, a rafforzare la capacità delle imprese di fornire adeguate garanzie di correttezza comportamentale e di trasparenza; dall’altra parte, a dotare le imprese di strumenti atti a prevenire possibili situazioni di rischio.

La normativa in oggetto offre, in sintesi, l’opportunità di esclusione da taluni reati quando si attivano idonei meccanismi di prevenzione dei rischi relativamente a: gli organi di governance preposti al controllo e ritenuti responsabili nelle fattispecie previste; la definizione di opportune procedure sintetizzate in un modello di organizzazione, gestione e controllo.

Il Decreto intende stimolare nelle imprese la consapevolezza di una responsabilità sociale, perseguibile sia attraverso la previsione di conseguenze amministrative e penali, sia mediante l’adozione del concetto di corporate culture, tipico di alcuni modelli sanzionatori anglosassoni. L’inversione dell’onere della prova secondo cui, per i reati commessi da

22 In particolare include fra i reati imputabili all’impresa le fattispecie previste da una

molteplicità di interventi normativi operati a livello nazionale (D.L. 350/01 sui reati di falso nummario, D.Lgs. 61/02 sui reati societari, L. 7/03 sui reati con finalità di terrorismo, L.228/2003 sui delitti contro la personalità individuale, L.62/05 sugli abusi di mercato, L. 146/06 sui reati transnazionali, D.Lgs. 152/06 relativo al nuovo codice dell’ambiente, L. 123/07 sulla violazione delle norme antinfortunistiche, D.Lgs. 231/07 sulla ricettazione ed il riciclaggio di denaro) a loro volta ispirati dalla normativa internazionale (Convenzione di Bruxelles sulla Tutela degli interessi finanziari della Comunità Europea (1995), Convenzione di Bruxelles sulla Lotta alla corruzione di funzionari pubblici (1997), Convenzione OECD sulla Lotta alla corruzione di pubblici ufficiali (1997), Convenzione UN contro il crimine organizzato (2000), legge comunitaria 62/2005 per recepimento della Direttiva 2003/6/CE sulla manipolazione del mercato e l’abuso di informazioni privilegiate)

11


soggetti con funzioni dirigenziali, è prevista una presunzione di responsabilità a carico dell’ente – che deve dimostrarne l’assenza derivante dalla colpa di organizzazione – ammette che la mancanza di un’idonea struttura organizzativa costituisca un elemento sufficiente per contestare l’esistenza di una responsabilità a carico dell’ente in quanto tale23.

L’implementazione del succitato modello di organizzazione e di gestione dovrebbe, cioè, impedire la commissione dei reati nel senso che i reati non dovrebbero poter essere commessi senza eludere fraudolentemente il modello24. Quanto affermato implica: la definizione di ruoli e responsabilità con riguardo a tutti i soggetti dotati di potere decisionale sulle aree a rischio; la codifica di standard di comportamento e di connesse procedure sanzionatorie nelle ipotesi di mancato rispetto; l’attuazione di adeguati processi di controllo e di vigilanza.

Per gli istituti bancari il rispetto del dettato normativo si configura, pertanto, come un’opportunità di rilievo per usufruire dei requisiti esimenti dalla responsabilità di illecito ma, altresì, per godere di un minore peso dei rischi abbinato a maggiori garanzie di tutela dei propri interlocutori sociali. Le banche, a loro volta, potranno favorevolmente valutare l’adozione del Decreto da parte delle imprese a cui si trovano legate da rapporti di credito e che si manifestano più sensibili alla volontà, e capacità, di gestire rischi di diversa appartenenza.

Il Decreto prevede, fra i requisiti esimenti la responsabilità dell’ente, l’istituzione di un Organismo di vigilanza, organo preposto al controllo sull’adozione del modello di organizzazione, gestione e controllo d’impresa mediante:

23 In realtà emerge una differenza di disciplina, e di regime probatorio, in relazione ai reati commessi dai soggetti in posizione apicale rispetto ai reati commessi dai sottoposti. Nel primo caso, infatti, si assiste ad un’inversione dell’onere della prova essendo in capo all’ente l’onere di dimostrare una serie di requisiti organizzativi; nel secondo caso, l’ente risponde solo se la commissione del reato è stata resa possibile dall’inosservanza degli obblighi di direzione o vigilanza (essendo l’onere della prova in carico all’accusa).

24 Il modello di organizzazione, gestione e controllo, in sintesi, si sostanzia in un insieme di regole interne di cui l’ente può dotarsi in funzione delle specifiche attività svolte e dei relativi rischi connessi, al fine di adempiere alla ratio delle norme del Decreto. Con specifico riferimento alle banche si sottolinea che tali tipologie di imprese sono, di per sé, già dotate di complessi di regole interne (normative aziendali, codici di autodisciplina, codici etici, ecc.) i quali possono costituire, eventualmente con le opportune modifiche, modelli di organizzazione e gestione. Ne deriva che l’adozione del modello richiederà un’attività tanto meno complessa quanto più adeguato e razionale risulterà essere il sistema dei controlli interni già esistenti. Il modello, infatti, non ha come unica funzione l’indicazione di una serie di procedure da seguire nello svolgimento di certe operazioni, ma anche quella di costituire uno strumento di comunicazione verso l’interno (apici e sottoposti) e verso l’esterno (investitori, terzi, creditori, ecc.) della cultura e dell’etica aziendale.

12


• la vigilanza sull’effettività e la rispondenza del modello di organizzazione ai requisiti richiesti dal Decreto;

• la verifica in merito all’idoneità del modello a prevenire la commissione di illeciti;

• la mappatura delle aree di rischio; • la verifica ed il necessario adeguamento del modello, valutando sia

le modifiche alla normativa di settore che gli orientamenti della giurisprudenza;

• la verifica e l’aggiornamento del sistema di vigilanza sull’attuazione del modello;

• la promozione di attività finalizzate alla conoscenza del modello all’interno dell’ente;

• l’esecuzione delle attività di verifica programmate nell’esecuzione dei controlli previsti nel modello di organizzazione;

• l’elaborazione dei dati forniti e la sintesi in merito alle verifiche effettuate;

• la segnalazione agli organi competenti delle violazioni del modello e la verifica dell’applicazione di sanzioni disciplinari;

• l’attivazione di corretti flussi informativi ed il collegamento funzionale con gli altri OdV istituiti presso altre società controllanti o controllate.

Il recente D. Lgs. 231/0725 innova significativamente la natura del-l’attività di controllo sino ad ora svolta dall’OdV: per gli enti cui il Decreto è applicabile si passa dal compito di “vigilare sul funzionamento e l’osservanza dei modelli” ad una vigilanza avente ad oggetto “l’osservanza delle norme” (art. 52 comma 1). Si assiste, cioè, ad un’attività di verifica sempre più sbilanciata nel merito in quanto relativa non solo all’osservazione di regole e procedure aziendali interne, ma anche all’effettiva applicazione della normativa e, di conseguenza, focalizzata anche sui singoli comportamenti effettivi che con la stessa possono porsi in contrasto. Inoltre, di fronte ad un precedente dovere di segnalazione delle anomalie esclusivamente all’interno dell’ente, oggi all’OdV viene attribuito un obbligo, penalmente sanzionato, di denuncia alle autorità di vigilanza.

La banca che adotta il Decreto deve, pertanto, individuare l’OdV, dotato di autonomi poteri di iniziativa e di controllo, interno all’azienda, al quale affidare espressamente i compiti di vigilare sul corretto funzionamento (e curarne l’eventuale aggiornamento) del modello di organizzazione e gestione. Tale organismo interagisce con l’organo amministrativo (dalla cui

25 In vigore dal 30 aprile 2008 e volto a recepire la Dir. 2005/60/CE sull’antiriciclaggio ed antiterrorismo.

13


nomina può derivare ed al quale può afferire, sebbene non in termini di dipendenza gerarchica), configurandosi anch’esso come organo di corporate governance.

La genericità del concetto di Organismo di vigilanza contenuto nel Decreto giustifica l’eterogeneità delle soluzioni possibili: anche nel settore bancario, di fatti, coesistono realtà societarie con caratteristiche dimensionali, strutturali e di attività fortemente diversificate. Ne deriva una forte differenziazione anche nelle risposte con cui le banche realizzano i principi enunciati nel Decreto in generale e le specifiche prescrizioni sull’Organismo di vigilanza in particolare.

Il sostanziale silenzio del dettame legislativo in merito ai requisiti ed alla composizione di tale Organo è stato parzialmente colmato da: le Linee guida dell’Associazione Bancaria Italiana26; gli interventi di altre associazioni27; la giurisprudenza.

Con riguardo ai requisiti di cui l’OdV nel suo complesso dovrebbe essere dotato, il Decreto riferisce soltanto in merito ad autonomi poteri di iniziativa e di controllo; i suddetti attributi devono, evidentemente, essere declinati in capo ai singoli membri dell’Organismo in modo che lo stesso sia qualificabile come:

• autonomo: detto carattere è l’unico prescritto dallo stesso legislatore all’art.6 e richiede che i soggetti appartenenti a tale Organo non debbano svolgere attività di gestione o incarichi di natura operativa, al fine di garantire l’assenza di eventuali conflitti di interesse. L’autonomia si esprimerà, quindi, rispetto alla stessa società (mancato svolgimento di attività gestionali) e nell’esercizio di poteri: ispettivi; di accesso alle informazioni; di controllo; di consultazione;

• indipendente: onde garantire la massima imparzialità di giudizio, l’OdV non deve essere in posizione subordinata ad alcun organo di corporate governance o di governance ed è auspicabile la presenza di soggetti che, interni o esterni all’azienda, non manifestino con la stessa conflitti di interesse;

• continuo nell’azione: l’efficacia dell’attività dell’OdV dipende anche dalla sua capacità di svolgere un’azione costante nel tempo ed in continua relazione con gli altri organi e funzioni aziendali;

• dotato di professionalità ed onorabilità: è auspicabile che i membri dell’OdV siano in possesso di professionalità specifiche (aziendalistiche ma anche legali) potendo ricorrere, eventualmente, a

26 ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli

organizzativi sulla responsabilità amministrativa delle banche, febbraio 2004. 27 Cfr. gli interventi dell’Associazione Italiana Internal Auditors, dell’Associazione

Italiana Compliance e le linee guida dell’Associazione Bancaria Italiana.

14


supporti tecnico specialistici di provenienza esterna, e si contraddistinguano per onorabilità ed affidabilità;

• privo di cause di ineleggibilità: nei requisiti richiesti per la nomina a membro dell’OdV devono essere previste specifiche disposizioni in materia di ineleggibilità/revoca al fine di evitare, ad esempio, che un soggetto condannato per uno dei reati previsti dal D. Lgs. 231/01 possa restare in carica fino al passaggio in giudicato della sentenza di condanna.

Sembra, inoltre, degno di nota rilevare che l’introduzione nella parte speciale del Decreto (art.25 ter) dei reati societari abbia reso ancora più evidente la necessità che l’OdV si configuri come un organo dotato dei requisiti succitati, in particolare l’autonomia e l’indipendenza.

Da quanto affermato appare evidente che l’OdV debba essere eletto dagli organi di corporate governance preposti all’attività di amministrazione (consiglio di amministrazione, nelle ipotesi di modello di governance dualistico orizzontale o monistico, o, nei modelli di governance dualistici verticali, consiglio di sorveglianza, quando quest’ultimo sia deputato anche alla funzione di supervisione strategica28).

Le peculiarità delle singole realtà bancarie suggerirà, poi, la soluzione più opportuna con riguardo all’identificazione dei soggetti impegnati nell’Organismo, anche sulla base dei rapporti costi/benefici correlati al ricorso ad una struttura aziendale già esistente o alla creazione di una struttura dedicata.

Sembra, in primo luogo, opportuno adottare il requisito della collegialità, in quanto la diversificazione delle competenze e l’eterogeneità delle funzioni contribuiscono ad alimentare la dialettica, presupposto imprescindibile per decisioni consapevoli e meditate29. In secondo luogo, è preferibile escludere il ricorso tout court ad un soggetto esterno alla banca (come la società di revisione o i consulenti esterni) in quanto, sebbene idonei sotto il profilo della professionalità, potrebbero non godere dei requisiti di autonomia di iniziativa e della continuità di azione30. Tuttavia

28 Supervisione strategica che nei modelli dualistici orizzontali e monistici si esaurisce

all’interno dell’organo amministrativo mediante l’individuazione all’interno del consiglio di amministrazione (che svolge attività di supervisione nel suo complesso) di amministratori esecutivi (deputati allo svolgimento dell’attività gestionale) e di amministratori non esecutivi.

29 Per le banche di piccole dimensioni, tuttavia, non si esclude l’utilizzo di un organo monocratico, seppure dotato delle medesime caratteristiche di indipendenza , di autonomia e di controllo di un organo collegiale.

30 Per le banche di credito cooperativo è ammessa l’esternalizzazione dei compiti di vigilanza di cui all’OdV alle Federazioni esterne. Cfr. ABI, Linee guida dell’Associazione bancaria Italiana, cit.

15


occorre sottolineare come una maggiore oggettività ed imparzialità di giudizio sia ottenibile laddove la composizione dell’OdV preveda l’inserimento anche di soggetti esterni e indipendenti.

Da quanto affermato si evince che la costituzione ideale dell’OdV si sostanzia in un organo collegiale costituito per la maggior parte da soggetti interni alla banca, con l’accortezza di escludere quegli stessi soggetti che provvedono alla relativa nomina o revoca.

Si ritiene, pertanto, che lo spirito del Decreto sia rispettato nelle ipotesi di:

• pressoché completa coincidenza dell’OdV con organi di controllo interno già esistenti nell’impresa bancaria (ad esempio internal auditing, eventualmente integrato nei poteri e nella composizione);

• creazione di un organismo ad hoc preferibilmente costituito sia da professionalità interne che esterne, eventualmente coordinate da uno o più amministratori non esecutivi ed indipendenti a garanzia dell’effettività del controllo sugli organi di vertice e dell’omogeneità di indirizzo.

Indipendentemente dalla sua composizione, appare evidente che, al fine di rendere effettivo l’esercizio delle funzioni dell’OdV, è necessario garantire un flusso costante di informazioni da e verso il medesimo.

Più precisamente all’OdV è garantito l’accesso a tutte le informazioni aziendali utili per l’espletamento dei propri compiti: su qualunque funzione grava, pertanto, l’obbligo, la cui violazione deve essere sanzionata (cfr. Tribunale Napoli, 27/06/07, ord.), di rendere disponibili dati, documenti, e qualunque informazione l’OdV richieda31.

A sua volta l’OdV produce flussi informativi rivolti a:

• gli organi di amministrazione, circa le valutazioni emerse al termine delle attività di verifica e la presenza di eventuali irregolarità accertate;

• gli organi deputati al controllo (collegio sindacale, comitato per il controllo sulla gestione, internal auditor, risk manager, preposto al controllo interno, ecc.);

31 Le informazioni fornite all’OdV dovrebbero consentire di migliorare le proprie

attività di controllo e non, invece, costituirsi come un’imposizione puntuale e sistematica di tutti i fenomeni rappresentati. In altre parole, all’Organismo non incombe un obbligo di agire ogni qualvolta vi sia una segnalazione, essendo rimesso alla sua discrezionalità stabilire in quali casi attivarsi. Guardando poi alle esperienze straniere, in particolare alle Federal Sentencing Guidelines statunitensi ed ai relativi compliance programs, l’obbligo di informazione dovrà essere esteso anche ai dipendenti che vengano in possesso di notizie relative alla commissione dei reati in specie o a pratiche non in linea con le norme di comportamento ed i codici etici di cui l’ente si è dotato.

16


• nei gruppi di imprese, eventuali altri OdV operanti presso controllanti o controllate;

• le autorità di vigilanza di settore, il Ministero dell’Economia e delle Finanze, l’UIF32 (ai sensi del D. Lgs. 231/07 art. 52);

• altri soggetti esterni, previa autorizzazione dello stesso OdV.

Ad evidenza, tutte le attività eseguite dall’OdV, le relative informazioni, i rilievi e le valutazioni effettuate devono essere verbalizzati ed archiviati al fine di poter essere eventualmente utilizzate dall’ente per chiedere la mancata applicazione delle sanzioni previste dal Decreto o per dimostrare che non vi è stato omesso controllo da parte dello stesso OdV.

Il legislatore tace anche con riguardo alla responsabilità dell’OdV nelle ipotesi in cui tale organo non abbia correttamente adempiuto alle attività di verifica e di vigilanza provocando, in tal modo, la responsabilità amministrativa dell’ente. Poiché all’OdV non è attribuito alcun potere di gestione attiva in grado di intervenire sull’organizzazione interna dell’ente, ma soltanto un’attività di controllo, si ritiene che lo stesso non possa essere passibile di responsabilità penale. Può, al contrario, configurarsi una responsabilità penale del singolo membro, quando quest’ultimo abbia partecipato in modo diretto, o attraverso l’omissione di precise funzioni, al reato compiuto da altri33.

Con riguardo alla responsabilità civile, escludendo i casi di dolo e colpa grave, potrebbe sussistere in capo ai componenti dell’OdV una responsabilità per condotta omissiva34 nei confronti di coloro che hanno creato i presupposti del reato. Tali azioni potranno essere esperite sia nei confronti dello stesso autore del reato, ma anche di quei soggetti che abbiano reso possibile la realizzazione dell’evento, come appunto i membri negligenti dell’OdV.

5. L’analisi empirica sull’informativa relativa all’OdV delle banche quotate

La ricerca empirica, condotta su un gruppo di imprese bancarie ritenuto significativo, si basa sulla consapevolezza che la veicolazione di un’informativa trasparente relativa all’adozione del D. Lgs.231/01 ed alla

32 Unità di Informazione Finanziaria per l’Italia istituita presso la Banca d’Italia. 33 L’art. 110 del codice penale, di fatti, regola il concorso di persone nel reato

presupponendo non solo la volontaria partecipazione alla condotta criminosa ma anche un apporto casualmente collegato alla realizzazione dell’evento.

34 In questa direzione si orienta la recente dottrina concorde nel ritenere che l’ente incriminato possa esperire azioni civili contro i componenti dell’OdV, intese anche a conseguire il risarcimento del danno economico conseguente alla condanna.

17


composizione dell’OdV favorisca: da una parte la possibilità di esprimere un giudizio in merito alla capacità di tale Organismo di sovrintendere alle funzioni di vigilanza ad esso assegnate; dall’altra parte, l’individuazione di possibili situazioni di rischio derivanti da eventuali conflitti di competenze a livello di governance.

L’analisi è stata effettuata nel mese di Aprile 2008 sui siti internet delle 29 banche quotate sui segmenti Blue Chip, Star, Standard ed Expandi di Borsa Italiana. La scelta del settore bancario è stata giustificata dalle maggiori problematiche di gestione del rischio che le banche devono affrontare e da una conseguente più stringente regolamentazione ad opera delle Autorità di vigilanza nazionali. Si presume, pertanto, che tale settore sia quello più sensibile alle possibilità esimenti promosse dal D. Lgs. 231/01.

In particolare sono stati indagati:

• i riferimenti all’adozione del D. Lgs. 231/01, o esplicitamente mediante la disponibilità di uno specifico documento sul modello di organizzazione, gestione e controllo, o all’interno della Relazione di corporate governance riferita all’anno 2007 (in ottemperanza al punto 8.C.2 del Codice di autodisciplina emesso da Borsa Italiana nel Marzo 2006);

• nel caso di adozione del Decreto in oggetto, la presenza di informazioni relative alla composizione dell’OdV. L’obiettivo è stato quello di verificare se la prassi risulta essere maggiormente orientata alla perfetta coincidenza fra l’OdV ed un organo di controllo già presente in azienda o sia, viceversa, propensa ad attuare soluzioni “miste” (organismo ad hoc), in cui cioè nell’Organismo di vigilanza convergono competenze diverse presidiate tradizionalmente da differenti organi e funzioni, eventualmente completate da competenze di origine esterna;

• l’esistenza formalizzata di una funzione di compliance ed un’eventuale coincidenza della stessa con l’OdV.

Dai risultati in evidenza in Tabella 1 ed in Tabella 2 si evincono le seguenti considerazioni: il 58,6% delle imprese conferma di adottare il D. Lgs. 231/01 solo all’interno della Relazione di corporate governance, mentre il 20,7% rende disponibile (oltre ad alcune informazioni sintetiche all’interno della Relazione di corporate governance) anche un apposito documento in cui si approfondiscono ulteriori dettagli (in particolare le modalità di implementazione del modello di organizzazione e di gestione).

Il 20,7% delle banche quotate, invece, non da’ alcuna indicazione al riguardo, per cui si presume o che non adotti le prescrizioni del Decreto o che non ritenga opportuno darne comunicazione. A tal proposito si

18


rammenta, tuttavia, che delle 6 banche che non forniscono alcun riferimento: una non rende disponibile la Relazione di corporate governance; una (appartenente al settore estero) è sottoposta all’ordinamento spagnolo; una presenta come ultima Relazione di corporate governance una versione estremamente datata (riferita all’anno 2003) anteriore alle nuove indicazioni del Codice di autodisciplina di Borsa Italiana del 2006; le restanti tre evidentemente non ritengono opportuno adottare al momento le prescrizioni del Decreto.

Con riguardo alla composizione dell’OdV si rimarca che: il 30,4% delle banche quotate che adottano il Decreto (il 24,1% del totale) annuncia esplicitamente la coincidenza con un organismo di controllo già esistente in azienda; il 60,9% (48,3% sul totale) preferisce istituire un organismo ad hoc costituito da un mix fra più organi aziendali esistenti con l’eventuale partecipazione di competenze interne ed esterne specificamente dedicate (cfr. Tabella 3); l’8,7% delle banche che affermano di adottare il Decreto (27,6% sul totale) non fornisce alcun riferimento.

Tab.1 – Adozione del D.Lgs. 231/01 e composizione dell’OdV (a)

Segmento N° Sistema di corporate

governance adottato D.Lgs. 231/01

Dua

listic

o or

izzo

ntal

e

Dua

listic

o ve

rtic

ale

Mon

istic

o

Nes

sun

rifer

imen

to

Solo

nel

la

rela

zion

e di

co

rpor

ate

gove

rnan

ce

Anc

he in

uno

sp

ecifi

co

docu

men

to

Blue chip 17 11 4 2 3 9 5 Star 3 3 3 Standard 7 7 1 5 1 Expandi 2 2 2 Totale 29 23

(79,3%)4

(13,8%)2

(6,9%)6

(20,7%) 17

(58,6%) 6

(20,7%)

19


Tab.2 – Adozione del D.Lgs. 231/01 e composizione dell’OdV (b)

Segmento

Composizione dell’OdV Funzione di compliance

Nes

sun

rifer

imen

to

Org

ano

esis

tent

e

Org

ano

ad

hoc(

Tab.

2)

Nes

sun

rif

erim

ento

Rife

rimen

ti al

la

funz

ione

Blue chip 4 4 9 5 12 Star 1 2 2 1 Standard 2 2 3 3 4 Expandi 2 2

Totale 8 (27,6%)

7 (24,1%)

14 (48,3%)

12 (41,4%)

17 (58,6%)

In sintesi, si può affermare che il 79,3% (23 banche su un totale di 29)

delle banche quotate aderisce al Decreto e, di queste, il 91,3% da’ anche informazioni specifiche sulla composizione dell’OdV.

La funzione di compliance è esplicitamente prevista nel 58,6% dei casi e, per lo più, è affidata alla “direzione legale e compliance” in staff al direttore generale o all’amministratore delegato. Contrariamente alle aspettative, su 15 imprese nelle quali l’organigramma o la Relazione di corporate governance nominano la funzione di compliance, soltanto 5 includono il relativo responsabile fra i membri dell’OdV.

La Tabella 3 evidenzia, inoltre, talune omogeneità con riguardo alla composizione di un organismo specificamente dedicato all’attività di vigilanza prevista dal Decreto, in linea con quanto suggerito dai riferimenti teorici: tutti gli OdV si configurano in forma collegiale e mai interamente costituiti da soggetti esterni all’impresa.

20


Tab.3 – Composizione dell’OdV nelle ipotesi di istituzione di un organismo ad hoc

Segmento Composizione dell’OdV

Blue chip Un amministratore indipendente + Responsabile Divisione Global Banking Services + Responsabile funzione Risorse Umane + Internal Auditor del gruppo + Responsabile funzione Compliance e Affari legali + Responsabile Corporate Identity

Blue chip Un amministratore indipendente + Responsabile funzione Affari legali + Responsabile funzione Risorse Umane + Internal Auditor del gruppo

Blue chip Un amministratore indipendente + Responsabile funzione Compliance e Affari legali + Internal Auditor

Blue chip Comitato per il controllo interno + Internal Auditor diel gruppo + Internal Auditor aziendale

Blue chip Un amministratore indipendente + Responsabile funzione Compliance e Affari legali + Internal Auditor

Blue chip Due amministratori indipendenti + Internal Auditor

Blue chip Consulente esterno indipendente + Internal Auditor

Blue chip Tre amministratori non esecutivi (dei quali uno indipendente) + Consulente legale + Consulente finanziario + Internal Auditor + Risk Manager

Blue chip Due amministratori indipendenti + Internal Auditor + Responsabile dell’organizzazioni delle disvisioni del gruppo + Responsabile della funzione Risorse Umane ed Affari legali

Star Due amministratori indipendenti + Internal Auditor

Star (2 casi) Comitato per il controllo interno + Funzione Internal Auditing

Standard Comitato per il controllo interno + Internal Auditor del gruppo + Internal Auditor aziendale

Standard Comitato 231 (Un amministratore indipendente + Responsabile funzione Risorse Umane+ Internal Auditor)

Articolando l’analisi su segmenti di quotazione, con riguardo alle banche

che operano sul Blue Chip (segmento in cui convergono i titoli emessi da società con capitalizzazione almeno pari a 1.000 milioni di euro) emergono i seguenti risultati:

• è l’unico segmento nel quale le imprese adottano sistemi differenti di corporate governance: le 2 imprese con modello monistico appartengono al segmento “estero” (con sede in Spagna) e non danno indicazioni sulla compliance al Decreto; delle 4 banche con modello dualistico verticale 2 hanno adottato tale modello intorno alla metà dell’anno 2007 per effetto di un’operazione di fusione; la maggior parte opta per il modello dualistico orizzontale;

• l’82,4% delle banche quotate sul segmento riferisce esplicitamente di adottare le prescrizioni del Decreto ed il 92,6% di queste ultime informa circa la composizione dell’OdV;

21


• in tutti i casi di coincidenza dell’OdV con un organismo di controllo già presente quest’ultimo corrisponde al comitato per il controllo interno (in un caso comitato interno al consiglio di sorveglianza);

• nei casi di costituzione di un organismo ad hoc (cfr. Tabella 3) le soluzioni appaiono diverse con la costante, tuttavia, della presenza dell’internal auditor. Come si può notare, non sono isolati i casi in cui si coinvolgono nell’OdV i responsabili delle funzioni Risorse Umane o Affari legali;

• il 70,6% delle banche del segmento prevede una funzione di compliance, in alcuni casi coinvolta come membro dell’OdV;

• soltanto in 2 casi si è ritenuto opportuno completare le competenze dell’OdV con soggetti esterni.

Le imprese quotate sul segmento Star (Segmento Titoli con Alti Requisiti) sono sottoposte a particolari requisiti di governo societario e di trasparenza informativa; esse, inoltre, da Marzo 2008 sono tenute all’adozione obbligatoria del modello di organizzazione, gestione e controllo di cui al Decreto, così che ci si aspetta informazioni quanto mai complete ed esaustive. Dall’analisi condotta è possibile derivare le seguenti considerazioni:

• il 100,0% delle banche quotate sul segmento riferisce di adottare già il Decreto nell’ambito della Relazione di corporate governance ed informa sulla composizione dell’OdV ;

• in un caso le funzioni dell’OdV sono attribuite al comitato per il controllo interno; nei restanti casi ci si avvale sempre della presenza dell’internal auditor senza ricorrere mai a consulenti esterni;

• soltanto in un caso l’organigramma evidenzia la presenza della funzione di compliance, in staff al direttore generale, che non è, tuttavia, coinvolta come membro dell’OdV.

Con riguardo al segmento Standard (su cui convergono titoli di imprese con capitalizzazione inferiore a 1.000 milioni di euro) si può affermare che:

• l’85,7% delle banche adotta il Decreto e di queste l’83,3% fornisce informazioni sulla composizione dell’OdV;

• nel 40,0% dei casi l’OdV coincide con un organo già esistente (in particolare in un caso con il comitato per il controllo interno, e nell’altro caso con il preposto al controllo interno, coincidente con il responsabile della funzione Ispettorato e Controlli); nel 60,0% dei casi si assiste ad una commistione fra organi esistenti, in particolare comitato per il controllo interno ed internal auditing;

22


• il 57,1% delle imprese comunica l’esistenza di una funzione di compliance che, tuttavia, non è mai coinvolta ufficialmente come membro dell’OdV.

Infine nel segmento Expandi nessuna banca riferisce in merito all’adozione del Decreto; si rammenta tuttavia che: una impresa assume la forma giuridica di cooperativa per azioni e ritiene garanzia sufficiente la verifica dell’adeguatezza del sistema di controllo interno operata dal consiglio di amministrazione, l’altra presenta una Relazione di corporate governance non aggiornata e comunque anteriore alle prescrizioni contenute nella versione 2006 del Codice di autodisciplina di Borsa italiana. Inoltre l’Expandi è considerato un segmento di “acclimatamento” destinato a quei titoli non in possesso dei requisiti per l’ammissione alla quotazione ufficiale di Borsa emessi da imprese di dimensioni limitate.

6. Conclusioni

La ricerca condotta e le informazioni rilevate consentono di sintetizzare i seguenti elementi di rilievo e di proporre talune riflessioni in merito: la maggior parte delle aziende bancarie oggetto d’indagine aderisce al D. Lgs. 231/01, attiva l’Organismo di vigilanza e comunica la composizione dell’organo medesimo; in circa il 30% dei casi l’Organismo di vigilanza coincide con altro organo di controllo e nel 70% delle aziende tale organo prevede una specifica struttura nella quale sono presenti soggetti deputati al controllo interno ovvero l’internal auditing; la funzione di compliance è presente in oltre la metà delle aziende bancarie quotate e in cinque casi trova presente un proprio rappresentante nell’OdV.

Da quanto emerso è possibile sottolineare come sia evidente la presenza di una pluralità di soggetti preposti a forme diverse di controllo interno tendenti, peraltro, a confondersi l’una con l’altra piuttosto che ad integrarsi o almeno a correlarsi, pur mantenendo nella maggior parte dei casi la propria identità. Inoltre, si rileva come la prevalente coincidenza con il comitato per il controllo interno possa non dare sufficienti garanzie di autonomia e indipendenza circa le modalità di sviluppo e di applicazione del modello esimente.

Esigenze organizzative possono giustificare l’utilizzo sinergico di competenze già presenti in azienda relativamente al sistema dei controlli interni; tuttavia, la mancanza di chiare modalità di coordinamento, nei fatti, potrebbe non garantire la trasparenza e la correttezza sostanziale, con conseguente imputazione all’ente di una responsabilità amministrativa o penale.

23


Si segnala, inoltre, la particolare attenzione dedicata attualmente dalle imprese del settore bancario alla funzione di compliance, per effetto dell’emanazione di norme a carattere obbligatorio e facoltativo da parte sia degli organi comunitari (Comitato di Basilea), sia degli organi di vigilanza nazionali (Banca d’Italia e Consob). Dalla ricerca condotta si evince che la funzione di compliance appare moderatamente diffusa (almeno con riferimento all’informativa veicolata tramite il sito internet), sebbene non ancora specificamente collocata e organizzata (anche e soprattutto rispetto alle funzioni attribuite all’Organismo di vigilanza).

Nel contesto descritto il miglioramento dell’efficacia globale dei controlli attuati potrebbe, pertanto, essere promossa mediante sinergie di scopo derivanti dalle possibilità/capacità di integrare la funzione di compliance con quella del controllo interno nelle sue diverse forme, preposto, laddove sia ritenuto adeguato ed efficace, a prevenire, mediante opportuni protocolli di gestione, gli eventuali rischi-reato di cui al D. Lgs 231/01.

24


Bibliografia

ABI, Linee guida dell’Associazione Bancaria Italiana per l’adozione di modelli organizzativi sulla responsabilità amministrativa delle banche, Roma, 2004

Banca d’Italia, Disposizioni di vigilanza. La funzione di conformità (compliance), 2007

Baggio F., Rebecca G., Zanardi G. “D.Lgs. 231reati e modelli”, Sindaci & Revisori, No. 2, 2008

Basel Committee on Banking Supervision, Compliance and the compliance function in banks, 2005

Beretta S., Valutazione dei rischi e controllo interno, Egea, Milano, 2004 Carosio G., “La Funzione di Compliance tra Basilea II e MiFID”, III Meeting

Compliance Dexia Crediop-AICOM: Strategies, governance, compliance: le sfide della direttiva MiFID e l’integrazione del mercato finanziario europeo, Roma, 2007

Cassandro P., “Sulle origini e sul contenuto dell’Auditing”, Saggi di ragioneria e di Economia aziendale, Cedam, Padova, 1987

Coda V., “Responsabilità degli amministratori e direttori, sistema di controllo interno e internal auditing”, in Molteni, M. (ed.), Verso una nuova concezione di internal auditing, Egea, Milano, 1998

Committee of Ministers, “Recommendation on Liability of Enterprises Having Legal personality for Offences Committed in the Exercise of their Activities”, Recommendation No. R(88) 18, Council of Europe, 1988

Confindustria, Linee Guida per la costruzione dei modelli di organizzazione, gestione e controllo ex D.Lgs. n.231/2001, 2004

Committee of Ministers, “Recommendation on Liability of Enterprises Having Legal Personality for Offences committed in the Exercise of their activities”, No.18, Council of Europe, 1988

Da Riva Grechi F., “Nomina e configurazione dell’OdV”, Convegno sulla Responsabilità Amministrativa degli Enti, Varese, 2007

Fortuna F., Corporate governance. Soggetti, modelli e sistemi, FrancoAngeli, Milano, 2001

Gandini G., Internal auditing e gestione dei rischi nel governo aziendale, FrancoAngeli, Milano, 2004

Gandini G., Governo d’impresa e orientamento competitivo al mercato bancario, FrancoAngeli, Milano, 2008

Hefendehl R., “Corporate Criminal Liability: Model Penal Code Section 2.07 and the Development in Western Legal System”, Buffalo Criminal Law Review, No. 4, 2001

25


Huse M., Boards, Governance and Value Creation, Cambridge University Press, United Kingdom, 2007.

Lattanzi G., a cura di, Reati e responsabilità degli enti, Giuffrè, Milano, 2005 OECD, Convention on Combating Bribery of Foreign Public Officials in

International Business Transactions, 1997 Previtali P., “Colpa e responsabilità di manager o di aziende?”, Economia &

Management, No. 1, 2007 Salvioni D. (a cura di), Corporate governance, controllo e trasparenza,

FrancoAngeli, Milano, 2007. United States Sentencing Commission, “Chapter eight – Sentencing of

Organizations”, Federal Sentencing Guidelines Manual, USA, 2007 Wells C., Corporations and criminal responsibility, Oxford University Press,

Oxford, 2001 Zanalda G., Barcellona, M., Economia d’impresa. La responsabilità

amministrativa degli enti, Il Sole24Ore, Milano, 2002

26

DIPARTIMENTO DI ECONOMIA AZIENDALE PAPERS PUBBLICATI DAL 2005 AL 2008∗:

41- Monica VENEZIANI, Effects of the IFRS on Financial Communication in Italy: Impact on the Consolidated Financial Statement, gennaio 2005.

42- Anna Maria TARANTOLA RONCHI, Domenico CERVADORO, L’industria vitivinicola di Franciacorta: un caso di successo, marzo 2005.

43- Paolo BOGARELLI, Strumenti economico aziendali per il governo delle aziende familiari, marzo 2005.

44- Anna CODINI, I codici etici nelle cooperative sociali, luglio 2005. 45- Francesca GENNARI, Corporate Governance e controllo della Brand Equity

nell’attuale scenario competitivo, luglio 2005. 46- Yuri BIONDI, The Firm as an Entity: Management, Organisation, Accounting, agosto

2005. 47- Giuseppe BERTOLI, Bruno BUSACCA, Luca MOLTENI, Consumatore, marca ed

“effetto made in”: evidenze dall’Italia e dagli Stati Uniti, novembre 2005. 48- Pier-Luca BUBBI, I metodi basati sui flussi: condizioni e limiti di applicazione ai fini

della valutazione delle imprese aeroportuali, novembre 2005. 49- Simona FRANZONI, Le relazioni con gli stakeholder e la responsabilità d’impresa,

dicembre 2005. 50- Francesco BOLDIZZONI, Arnaldo CANZIANI, Mathematics and Economics: Use,

Misuse, or Abuse?, dicembre 2005. 51- Elisabetta CORVI, Michelle BONERA, Web Orientation and Value Chain Evolution

in the Tourism Industry, dicembre 2005. 52- Cinzia DABRASSI PRANDI, Relationship e Transactional Banking models, marzo

2006. 53- Giuseppe BERTOLI, Bruno BUSACCA, Federica LEVATO, Brand Extension &

Brand Loyalty, aprile 2006. 54- Mario MAZZOLENI, Marco BERTOCCHI, La rendicontazione sociale negli enti

locali quale strumento a supporto delle relazioni con gli Stakeholder: una riflessione critica, aprile 2006

55- Marco PAIOLA, Eventi culturali e marketing territoriale: un modello relazionale applicato al caso di Brescia, luglio 2006

56- Maria MARTELLINI, Intervento pubblico ed economia delle imprese, agosto 2006 57- Arnaldo CANZIANI, Between Politics and Double Entry, dicembre 2006 58- Marco BERGAMASCHI, Note sul principio di indeterminazione nelle scienze sociali,

dicembre 2006 59- Arnaldo CANZIANI, Renato CAMODECA, Il debito pubblico italiano 1971-2005 nel-

l'apprezzamento economico-aziendale, dicembre 2006 60- Giuseppina GANDINI, L’evoluzione della Governance nel processo di trasformazione

delle IPAB, dicembre 2006 61- Giuseppe BERTOLI, Bruno BUSACCA, Ottavia PELLONI, Brand Extension:

l’impatto della qualità relazionale della marca e delle scelte di denominazione, marzo 2007

62- Francesca GENNARI, Responsabilità globale d’impresa e bilancio integrato, marzo 2007

63- Arnaldo CANZIANI, La ragioneria italiana 1841-1922 da tecnica a scienza, luglio 2007

∗ Serie depositata a norma di legge. L’elenco completo dei paper è disponibile al

seguente indirizzo internet http://www.deaz.unibs.it

27

64- Giuseppina GANDINI, Simona FRANZONI, La responsabilità e la rendicontazione sociale e di genere nelle aziende ospedaliere, luglio 2007

65- Giuseppe BERTOLI, Bruno BUSACCA, Ottavia PELLONI, La valutazione di un’estensione di marca: consonanza percettiva e fattori Brand-Related, luglio 2007

66- Marco BERGAMASCHI, Crisi d’impresa e tecnica legislativa: l’istituto giuridico della moratoria, dicembre 2007.

67- Giuseppe PROVENZANO, Risparmio…. Consumo….questi sconosciuti !!! , dicembre 2007.

68- Elisabetta CORVI, Alessandro BIGI, Gabrielle NG, The European Millennials versus the US Millennials: similarities and differences, dicembre 2007.

69- Anna CODINI, Governo della concorrenza e ruolo delle Authorities nell’Unione Europea, dicembre 2007.

70- Anna CODINI, Gestione strategica degli approvvigionamenti e servizio al cliente nel settore della meccanica varia, dicembre 2007.

71- Monica VENEZIANI, Laura BOSIO, I principi contabili internazionali e le imprese non quotate: opportunità, vincoli, effetti economici, dicembre 2007.

72- Mario NICOLIELLO, La natura economica del bilancio d’esercizio nella disciplina giuridica degli anni 1942, 1974, 1991, 2003, dicembre 2007.

73- Marta Maria PEDRINOLA, La ristrutturazione del debito dell’impresa secondo la novella dell’art 182-bis L.F., dicembre 2007.

74- Giuseppina GANDINI, Raffaella CASSANO, Sistemi giuridici a confronto: modelli di corporate governance e comunicazione aziendale, maggio 2008.

75- Giuseppe BERTOLI, Bruno BUSACCA, Michela APOSTOLO, Dominanza della marca e successo del co-branding: una verifica sperimentale, maggio 2008.

76- Alberto MARCHESE, Il ricambio generazionale nell’impresa: il patto di famiglia, maggio 2008.

77- Pierpaolo FERRARI, Leasing, factoring e credito al consumo: business maturi e in declino o “cash cow”?, giugno 2008.

78- Giuseppe BERTOLI, Globalizzazione dei mercati e sviluppo dell’economia cinese, giugno 2008.

79- Arnaldo CANZIANI, Giovanni Demaria (1899-1998) nei ricordi di un allievo, ottobre 2008.

80- Guido ABATE, I fondi comuni e l’approccio multimanager: modelli a confronto, novembre 2008.

81- Paolo BOGARELLI, Unità e controllo economico nel governo dell’impresa: il contributo degli studiosi italiani nella prima metà del XX secolo, dicembre 2008.

82- Marco BERGAMASCHI, Marchi, imprese e sociologia dell’abbigliamento d’alta moda, dicembre 2008.

83- Marta Maria PEDRINOLA, I gruppi societari e le loro politiche tributarie: il dividend washing, dicembre 2008.

84- Federico MANFRIN, La natura economico-aziendale dell’istituto societario, dicembre 2008.

85- Sergio ALBERTINI, Caterina MUZZI, La diffusione delle ICT nei sistemi produttivi locali: una riflessione teorica ed una proposta metodologica, dicembre 2008.

28

Università degli Studi Dipartimento didi Brescia Economia Aziendale

Dicembre 2008

Paper numero 86

Giuseppina GANDINI - Francesca GENNARI

FUNZIONE DI COMPLIANCE E RESPONSABILITÀ DI GOVERNANCE

Università degli Studi di BresciaDipartimento di Economia AziendaleContrada Santa Chiara, 50 - 25122 Bresciatel. 030.2988.551-552-553-554 - fax 030.295814e-mail: [email protected]

AR

TI G

RA

FIC

HE

AP

OLL

ON

IO

cp 21x297 paper 86.qxd:cp 21x297 paper 83.qxd 04/02/09 08:42 Pagina 1

Documents

FUNZIONE DI COMPLIANCE E RESPONSABILITÀ DI … · legislativo e delle indicazioni provenienti dagli organismi di tutela ... nel corso del tempo, una proliferazione di ... del concetto