© Tutti i diritti riservati. Vietata la ripubblicazione cartacea ed in internet senza una espressa autorizzazione scritta. È consentito il link diretto a questo documento.

Di Antonio Pezzuto, ex Dirigente della Banca d’Italia

 

Nel giugno 2020 l’ESMA (European Securities and Markets Authority) ha pubblicato le nuove linee guida su alcuni aspetti dei requisiti della funzione di controllo della conformità (c.d. funzione di compliance), ai sensi della Direttiva 2014/65/UE relativa ai mercati degli strumenti finanziari (c.d. Direttiva MiFID II).

Le linee guida (o orientamenti), tradotte il 6.4.2021 nelle varie lingue ufficiali dell’UE, troveranno applicazione trascorsi due mesi dalla pubblicazione delle traduzioni. Entro tale termine le autorità di vigilanza dei paesi europei dovranno confermare la propria intenzione di conformarsi ai nuovi orientamenti, integrandoli nei quadri giuridici e/o di vigilanza nazionali, ovvero dichiarare che non intendono conformarsi, motivandone la decisione.

Le linee guida costituiscono, in realtà, una versione aggiornata degli orientamenti pubblicati nel settembre 2012. Ancorché gli obiettivi e i principi basilari della normativa relativi alla funzione di compliance siano rimasti invariati, i nuovi orientamenti hanno ulteriormente rafforzato, ampliato e dettagliato, a seconda dei casi, le responsabilità e i requisiti organizzativi di detta funzione[1].

Con l’emanazione delle nuove guidelines l’ESMA intende perseguire le seguenti finalità: i) istituire pratiche di vigilanza coerenti, efficienti ed efficaci all’interno del Sistema europeo di vigilanza finanziaria (SEVIF); ii) assicurare un’applicazione comune, uniforme e coerente di alcuni aspetti della funzione di compliance, in ragione degli sviluppi normativi intervenuti; iii) promuovere una maggiore convergenza nell’interpretazione e negli approcci di vigilanza dei requisiti della funzione di compliance, favorendo così un rafforzamento della protezione degli investitori.

Le linee guida sono rivolte alle autorità nazionali competenti (Consob in Italia) e ai seguenti operatori dei mercati finanziari:

• imprese di investimento quando prestano servizi o attività di investimento e vendono o forniscono consulenza ai clienti in relazione a depositi strutturati;
• enti creditizi quando prestano servizi o attività di investimento e vendono o forniscono consulenza ai clienti in relazione a depositi strutturati;
• società di gestione di OICVM quando prestano servizi e attività di investimento in conformità alla Direttiva 2009/65/CE (cd. Direttiva OICVM);
• gestori dei fondi investimento alternativi (GEFIA) quando prestano servizi e attività di investimento in conformità alla Direttiva 2011/617UE (c.d. Direttiva GEFIA).

Il documento dell’ESMA si articola in tre sezioni:

• Responsabilità della funzione di compliance;
• Requisiti organizzativi della funzione;
• Revisione della funzione da parte dell’autorità competente.

 

1. Responsabilità della funzione di compliance

 

1.1 Orientamento n. 1: valutazione del rischio di conformità [2]

La funzione di controllo di conformità è chiamata a condurre una valutazione del rischio (risk assessment) per garantire un monitoraggio esaustivo dei rischi di conformità, sulla base della quale deve poi sviluppare un programma di rilevazione e controllo “per determinare le proprie priorità e il fulcro delle attività di monitoraggio, consulenza e assistenza”. Tale valutazione dovrebbe essere riesaminata a cadenza regolare e, ove necessario, aggiornata “per assicurare che gli obiettivi, il fulcro e l’ambito delle attività di monitoraggio e consulenza in materia di conformità restino validi”.

E’ richiesto inoltre che nella conduzione del risk assessment la funzione di compliance tenga conto di tutte le aree di attività e dei servizi di investimento (compresi quelli accessori), nonché del tipo di strumenti finanziari prodotti e distribuiti, delle categorie di clientela, dei canali distributivi e degli esiti delle attività di verifica svolte da altre funzioni aziendali di controllo.

I rischi individuati dovrebbero essere rivisti periodicamente e, ove necessario, anche ad hoc per garantire che siano prese in considerazione nuove tipologie di rischio.

1.2. Orientamento n. 2: obblighi di monitoraggio[3]

Il programma di monitoraggio basato sul rischio (risk-based) dovrebbe essere finalizzato a valutare se le attività dell’impresa sono esercitate in conformità del quadro normativo di riferimento, nonché se le politiche e procedure interne, l’organizzazione e le misure di controllo sono efficaci e appropriate per assicurare un monitoraggio esaustivo dei rischi di conformità. A tal fine, è specificato che la funzione di compliance svolga le attività di monitoring attraverso ispezioni in loco, misurazione del rischio aggregato, relazioni periodiche, sorveglianza mirata delle operazioni, colloqui con il personale dipendente e con un campione rappresentativo della clientela.

Le attività di monitoraggio dovrebbero altresì prendere in considerazione i controlli di primo livello svolti dalle unità operative, i reclami ricevuti dai clienti e gli esiti delle attività di verifica svolte dalle altre funzioni aziendali di controllo (gestione del rischio, audit interno, ecc.).

1.3. Orientamento n. 3: obblighi di comunicazione[4]

Le relazioni sulle verifiche di conformità, da portare a conoscenza della dirigenza, dovrebbero riguardare tutte le unità di business deputate alla prestazione e all’esercizio di attività e servizi di investimento. I report di conformità dovrebbero contenere, inter alia: i) informazioni di carattere generale sull’adeguatezza e l’efficacia delle politiche e delle procedure atte a garantire la conformità dell’impresa e del suo personale agli obblighi normativi nonché una sintesi della struttura della funzione di compliance; ii) informazioni sulle modalità di monitoraggio e revisione degli obblighi imposti dalla MiFID II, una sintesi delle ispezioni in loco o delle revisioni documentali e una sintesi delle attività di monitoraggio pianificate per la revisione successiva; iii) una sintesi delle principali constatazioni risultanti dalla revisione delle politiche e delle procedure, violazioni e carenze nell’organizzazione e nel processo di conformità dell’impresa e il numero dei reclami ricevuti dalla clientela; iv) una sintesi dei provvedimenti adottati per affrontare eventuali rischi significativi di inadempimenti dei precetti normativi, le misure adottate e in via di adozione per garantire la conformità ai requisiti applicabili modificati nonché le risposte ai reclami ricevuti ed eventuali pagamenti effettuati sulla base di reclami.

La funzione di compliance dovrebbe esaminare anche quanto meno ogni aspetto concernente il monitoraggio della governance dei prodotti (product governance) e, in via sistematica, le informazioni sugli strumenti finanziari prodotti o distribuiti, comprese quelle sulla strategia distributiva, allo scopo di valutare se i dispositivi di governance dei prodotti funzionano correttamente.

Nel rispetto del principio di proporzionalità, le imprese dovrebbero optare per un assetto organizzativo in cui la funzione di compliance e quella incaricata della gestione dei reclami siano separate. Se la funzione di controllo della conformità si occupa anche della gestione dei reclami, il report di conformità dovrebbe esaminare le eventuali problematiche derivanti dall’attuazione dei dispositivi volti a valutare, ridurre al minimo e gestire situazioni di conflitto eventualmente insorte tra le due funzioni.

1.4 Orientamento n. 4: obblighi di consulenza e assistenza[5]

Le imprese dovrebbero garantire che la funzione di compliance svolga attività di consulenza e assistenza quotidiana alla dirigenza e al personale e prenda parte alla definizione di politiche e procedure sui servizi e attività d’investimento (ad esempio, le policies in materia di product governance e remunerazione), nonché a tutte le modifiche rilevanti di tipo organizzativo.

Il nuovo orientamento ribadisce il principio per cui la funzione di compliance dovrebbe promuovere e diffondere una “cultura della conformità” all’interno dell’azienda, sostenuta dall’alta dirigenza, che si concentri non solo sulla protezione del consumatore, ma anche sulla stabilità del sistema finanziario.

L’impresa è tenuta ad assicurare che il proprio personale disponga di una formazione adeguata. A tal fine, si richiede che la formazione sia sviluppata su base continuativa per poter tener conto dei mutamenti del quadro normativo e regolamentare di riferimento.

La funzione di compliance dovrebbe monitorare, in collaborazione con il gruppo dirigenziale, se il personale abbia le necessarie conoscenze tecniche e applichi correttamente le politiche e le procedure aziendali.

 

2. Requisiti organizzativi della funzione di controllo della conformità

 

2.1 Orientamento n. 5: efficacia della funzione di controllo della conformità[6]

 Le imprese dovrebbero garantire che la funzione di controllo della conformità sia dotata di risorse umane e informatiche adeguate alle dimensioni e al tipo di servizio e attività d’investimento prestate alla clientela. A tal riguardo, l’alta dirigenza ha il compito di monitorare, almeno annualmente, se il numero e le competenze dei dipendenti “continuino ad essere adeguati”.

Qualora l’impresa stanzi dotazioni finanziarie per funzioni o unità specifiche, alla funzione di compliance dovrebbero essere assegnati fondi correlati al livello di rischio di conformità cui l’impresa è esposta.

Il personale addetto alla funzione di compliance dovrebbe avere accesso in qualsiasi momento a tutte le banche dati e registrazioni del caso (ad esempio, le registrazioni di conversazioni telefoniche), al fine di essere sempre a conoscenza dei diversi profili di rischio di non conformità. Parimenti, al Responsabile della funzione (compliance officer) dovrebbe essere consentito di accedere a tutti i sistemi informativi pertinenti, nonché alle relazioni di audit interno o esterno o ad altre comunicazioni destinate all’alta dirigenza o alla funzione di vigilanza. Ove opportuno, il preposto alla funzione di compliance dovrebbe poter partecipare alle riunioni del top management o della funzione di vigilanza. La manca concessione di tale diritto dovrebbe essere documentata e motivata per iscritto.

2.2. Orientamento n. 6: conoscenze e competenze della funzione di controllo della conformità[7]

L’orientamento in epigrafe, di nuova introduzione, descrive le qualifiche, le conoscenze e le competenze che il personale componente la funzione di compliance deve possedere per adempiere agli obblighi previsti dal Regolamento delegato MiFID II. Tale funzione deve inoltre disporre della necessaria autorità, intesa come il possesso di adeguate competenze e capacità personali pertinenti (come, ad esempio, la capacità di giudizio).

Il compliance officer dovrebbe essere in possesso di conoscenze ed esperienze sufficientemente ampie per poter assumere la conduzione dell’unità operativa, oltre che esibire elevati standard di etica professionale e di integrità personale nonché doti professionali e di expertise atte a valutare i rischi di conformità e i conflitti di interesse inerenti all’attività dell’impresa.

2.3. Orientamento n. 7: permanenza della funzione di controllo della conformità[8]

Le imprese sono tenute a garantire, mediante procedure interne e/o “disposizioni di sostituzione”, la continuità della funzione di compliance anche in caso di assenza del Responsabile dell’unità.

La responsabilità e le competenze nonché l’autorità della funzione di compliance dovrebbero essere definite in una “politica della conformità” oppure in altre disposizioni interne che tengano conto della portata e della natura dell’attività d’investimento svolta dall’impresa.

Inoltre la funzione di compliance dovrebbe esercitare un’attività di monitoraggio regolare su tutte le aree e/o i settori operativi maggiormente esposti al rischio di conformità, al fine di prevenirne la materializzazione o, in caso contrario, di reagire con tempestività a eventi imprevisti.

2.4. Orientamento n. 8: indipendenza della funzione di controllo della conformità[9]

Le imprese dovrebbero assicurare che la funzione di compliance occupi, all’interno della struttura organizzativa aziendale, una posizione tale da garantire che il Responsabile e il personale ivi addetto agiscano indipendentemente nell’esercizio dei loro compiti. A tal proposito, le altre unità operative dovrebbero astenersi dall’emanare istruzioni o influenzare in alcun modo il personale preposto al controllo della conformità e le sue attività.

2.5. Orientamento n. 9: proporzionalità in relazione all’efficacia della funzione di controllo della conformità[10]

L’orientamento in epigrafe pone maggiore enfasi sul principio di proporzionalità rispetto all’efficacia della funzione di compliance, secondo il quale le imprese dovrebbero decidere quali misure, in termini organizzativi e di risorse, siano le più idonee a garantire l’efficacia della funzione stessa. Tale valutazione dovrebbe essere condotta considerando una serie di criteri, tra cui i tipi di servizi forniti, gli strumenti finanziari offerti, il volume di attività, la tipologia di clientela e il numero di dipendenti.

2.6. Orientamento n. 10: combinazione della funzione di compliance con altre funzioni di controllo interno[11]

Premesso che un’organizzazione basata sulla separazione delle diverse funzioni di controllo appare preferibile in linea di principio, la combinazione della funzione di compliance con quella di controllo interno può essere consentita purché non vengano compromesse l’efficacia e l’indipendenza della prima. L’eventuale aggregazione di tali funzioni dovrebbe essere documentata e motivata per consentire alle autorità competenti di valutarne l’adeguatezza.

Una combinazione della funzione di compliance con altre unità di controllo di pari livello (ad esempio, quella di prevenzione del riciclaggio) può essere accettabile se non genera conflitti di interesse o non compromette l’efficacia della prima.

Il personale addetto al controllo della conformità non dovrebbe in generale partecipare alle attività che è chiamato a monitorare.

Indipendentemente dall’aggregazione della funzione di controllo della conformità con altre funzioni di controllo, la funzione di compliance dovrebbe coordinare le proprie attività con quelle di controllo di secondo livello svolte da altre unità.

Se la funzione di compliance è combinata con altre funzioni di controllo o se la prima ha anche la responsabilità di altri compiti (ad esempio, delle attività di antiriciclaggio), l’impresa dovrebbe fornire un’adeguata dotazione di risorse finanziarie e tecniche.

Viene introdotta la previsione secondo cui, qualora il compliance officer e il responsabile unico della salvaguardia dei beni della clientela di cui all’art. 7 della Direttiva delegata (UE) 2017/593, non coincida nella stessa persona, entrambi i soggetti dovrebbero operare indipendentemente l’uno dall’altro e il Responsabile della funzione di compliance non dovrebbe vigilare sul Responsabile unico o impartirgli istruzioni.

2.7. Orientamento n. 11: esternalizzazione della funzione di controllo della conformità[12]

 Le imprese che intendono esternalizzare in tutto o in parte la funzione di compliance restano pienamente responsabili dei compiti esternalizzati. Ciò implica che l’impresa che ricorre all’esternalizzazione (outsourcing) “deve mantenere sempre la capacità di controllare i compiti esternalizzati e di gestire” i connessi rischi.

La scelta del fornitore di servizi (outsourcer) dovrebbe essere preceduta da una valutazione della dovuta diligenza (due diligence), al fine di assicurare il rispetto dei requisiti previsti dal regolamento delegato della MiFID II.

Si ribadisce l’obbligo, per le imprese, di assicurare che l’outsourcer: i) disponga dell’autorità, di risorse, di competenze e della possibilità di accesso a tutte le informazioni pertinenti per poter svolgere al meglio i compiti esternalizzati; ii) sia in grado di esercitare la funzione esternalizzata su base continuativa.

Le imprese dovrebbero inoltre monitorare se l’outsourcer adempia adeguatamente ai propri compiti. La responsabilità della vigilanza e del monitoraggio delle attività esternalizzate è attribuita al top management, che dovrebbe disporre di risorse e competenze adeguate.

In ogni caso, l’outsourcing della funzione di compliance non dovrebbe: i) pregiudicare la qualità e l’indipendenza della funzione stessa; ii) generare rischi operativi aggiuntivi; iii) compromettere le attività di controllo interno o iv) la capacità dell’impresa e dell’autorità competente di controllare la conformità ai requisiti regolamentari.

E’ inoltre previsto che l’esternalizzazione, totale o parziale, dei compiti della funzione di compliance a soggetti extracomunitari sia sottoposta a un monitoraggio particolarmente attento e, in caso di cessazione dell’accordo, l’impresa dovrebbe garantire la continuità della funzione di conformità.

2.8. Orientamento n. 12: revisione della funzione di compliance da parte delle autorità competenti[13]

Le autorità competenti dovrebbero riesaminare periodicamente le modalità attraverso cui le imprese intendono osservare e mantenere i requisiti della funzione di controllo della conformità. In sede di rilascio dell’autorizzazione a operare, l’autorità competente deve valutare se la funzione di compliance disponga di sufficienti risorse (umane e tecniche), sia adeguatamente organizzata e siano stati istituiti flussi informativi appropriati.

Nell’ambito del processo di supervisione continuativa, l’autorità competente deve altresì valutare, secondo un approccio risk-based, se le misure adottate dall’impresa per la funzione di compliance sono appropriate e se tale funzione adempie in modo adeguato alle proprie responsabilità.

In caso di variazione del modello commerciale, spetta alle imprese accertare se occorre apportare “cambiamenti in termini di risorse e organizzazione” della funzione di controllo della conformità; cambiamenti che non sono necessariamente soggetti all’approvazione dell’autorità competente.

 

Note:

[1] Zanin M. e Scavone E.M., Funzione di compliance: crescono responsabilità e requisiti organizzativi, in www.dirittobancario.it

[2] Art. 22, paragrafo 1, e art. 22, paragrafo 2, secondo comma, del Regolamento delegato MiFID II.

[3] Art. 22, paragrafo 2, lett. a) e secondo comma, del Regolamento delegato MiFID II.

[4] Art. 16, paragrafo 2, della MiFID II; art. 21, paragrafo 1, lett. e), paragrafo 2, lett. c), e paragrafo 3, lett. b), art. 25, paragrafi 2 e 3, e art. 26, paragrafi 3 e 7, del Regolamento delegato MiFID II; art. 9, paragrafi 6 e 7, e art. 10, paragrafi 6 e 8, della Direttiva delegata MiFID II.

[5] Art. 22, paragrafo 2, lett. b) e art. 27, paragrafo 3, del Regolamento delegato MiFID II.

[6] Art. 21, paragrafo 1, lett. d) e art. 22, paragrafo 3, lett. a) del Regolamento delegato MiFID II.

[7] Art. 21, paragrafo 1, lett. d) e art. 22, paragrafo 3, lettere a) e b) del regolamento delegato MiFID II.

[8] Art. 22, paragrafo 2, primo comma, del Regolamento delegato MiFID II.

[9] Art. 22, paragrafo 3, lettere b), d) ed e), del Regolamento delegato MiFID II.

[10] Art. 22, paragrafo 4, del Regolamento delegato MiFID II.

[11] Art. 22, paragrafo 3, lett. d), del Regolamento delegato MiFID II.

[12] Articoli 22 e 31 del Regolamento delegato MiFID II.

[13] Art. 7 della MiFID II e art. 22 del Regolamento delegato MiFID II.

Rivista di Diritto Bancario Tidona - www.tidona.com - Il contenuto di questo documento potrebbe non essere aggiornato o comunque non applicabile al Suo specifico caso. Si raccomanda di consultare un avvocato esperto prima di assumere qualsiasi decisione in merito a concrete fattispecie.

Le informazioni contenute in questo sito web e nella rivista "Magistra Banca e Finanza" sono fornite solo a scopo informativo e non possono essere ritenute sostitutive di una consulenza legale. Nessun destinatario del contenuto di questo sito, cliente o visitatore, dovrebbe agire o astenersi dall'agire sulla base di qualsiasi contenuto incluso in questo sito senza richiedere una appropriata consulenza legale professionale, da un avvocato autorizzato, con studio dei fatti e delle circostanze del proprio specifico caso legale.