2
Vi è misura in tutte le cose
Orazio, poeta romano, 65 – 8 a.C.
ABSTRACT
Il rischio di compliance nasce dalla omessa o errata applicazione di norme
imperative e di autoregolamentazione interna: riguarda l’agire delle persone ed il
funzionamento dei sistemi e delle procedure nelle organizzazioni. Nel management
delle banche gli stakeholders e le Autorità di Vigilanza esigono che tale rischio sia
continuamente presidiato anche tramite indici di significatività, per garantire il
rispetto duraturo delle regole di condotta, di correttezza e trasparenza; pertanto la
funzione di controllo che gestisce il rischio di compliance necessita di strumenti in
grado di segnalare se i sistemi, i processi, i prodotti, le persone e l’intero ambiente
organizzativo sono conformi.
La tesi studia la progettazione e l'utilizzo degli indicatori noti come Key Risk
Indicators (KRI) per gli specifici controlli sul rischio residuo di compliance: essi
sono ricognitori dell’ambiente organizzativo aziendale, sul quale trovano, elaborano
e comunicano importanti informazioni andamentali espresse in valori di sintesi.
Nella parte introduttiva si definisce il rischio di compliance nelle sue manifestazioni
lorda e residua; se ne identifica l’ubicazione all’interno dei processi produttivi; se
ne delineano brevemente le modalità di management; ne viene evidenziata la
peculiarità di misurazione, rilevando nel contempo la difficoltà metodologica che
pone la tematica in territorio “di frontiera”.
Si scompongono e si organizzano le fasi di progettazione degli indicatori, dopo
averne caratterizzato i requisiti qualitativi e le basi di dati necessarie per il loro
sviluppo e calcolo.
L’universo degli indicatori è ricondotto a quattro classi, differenziate per la diversa
granularità dei dati che caratterizzano l’evento rischioso: si stabiliscono le
connessioni tra gli archivi operazionali e gli indicatori sentinella o “early warning”
mentre, partendo da archivi computazionali ad-hoc (datamart), negli ultimi tre
capitoli della tesi sono sviluppati altrettanti casi di studio su indicatori
unidimensionali, multidimensionali e indicatori complessi.
6
Il problema dell’economia di mercato libera
è che richiede così tante guardie per farla funzionare
Neal Ascherson, giornalista scozzese, 1932, contemporaneo
CAPITOLO PRIMO
Il Rischio di Compliance: origini, definizione, ambito di controllo
Al fallimento della Barings Bank nel 1995 fece seguito una sequenza di epocali
dissesti finanziari. Non che in precedenza fossero sconosciuti, quello fu però il
turning-point verso una dimensione planetaria, i primi 860 milioni di sterline di
ammanco in un crescendo wagneriano: dalle iperboliche leve finanziarie di LTCM
collassate nel 1998 (dollari 4,6 miliardi) al recente caso di manipolazione del Libor
(2012, risarcimenti danni stimati per miliardi di dollari
1
), passando attraverso casi
quali Enron (dollari 10 miliardi), Worldcom (dollari 3,8 miliardi), Parmalat (euro
14 miliardi ), Société Générale (euro 4,9 miliardi), Madoff (dollari 65 miliardi). Ad
majora, l’effetto domino creato dai mutui-subprime
2
e dalle loro filiazioni-salsiccia
ha prodotto danni non quantificabili e pertanto feralmente definiti “sistemici”: nei
soli casi Bear Sterns e Lehmann Brothers le perdite hanno superato i 750 miliardi
di dollari
3
. Apparente caratteristica terminale di tutte le vicende: un fulmine a ciel
sereno! ribattezzato in gergo momento Minsky
4
. Voragini abissali sono state scavate
con tecniche sofisticate e poi nascoste con le frasche. Il ragionieristico ”error-
account 88888” era, alla Barings, il nascondiglio dei progressivi ammanchi da
1
Zurigo, 19 dicembre 2012 – Reuters - Ubs ha annunciato che pagherà un'ammenda di 1,4 miliardi di franchi
svizzeri (circa 1,1 miliardi di euro) in seguito a un accordo con le autorità statunitensi, britanniche ed elvetiche in
relazione allo scandalo Libor. La banca ha accettato di riconoscersi colpevole di fronte a un'accusa di frode per
via elettronica per manipolazione di alcuni tassi benchmark, incluso lo yen Libor, da parte della sua filiale
giapponese. Ubs aggiunge di attendersi una perdita nel quarto trimestre a causa dei relativi accantonamenti. Sul
totale, 160 milioni di sterline di ammenda saranno versati alle autorità britanniche e 1,2 miliardi di dollari al
dipartimento di Giustizia Usa. La banca verserà anche 59 milioni a Finma, l'autorità svizzera di vigilanza sui
mercati, che ha ordinato la confisca degli utili indebitamente realizzati.
2
New York, 8 gennaio 2013 – La Repubblica - Dieci grandi banche hanno raggiunto un accordo con le autorità
federali di vigilanza, per rimborsare 8,5 miliardi di dollari in conseguenza di abusi, errori e frodi sulle operazioni
legate ai prestiti per la casa. In questo elenco dei reprobi figurano JP Morgan Chase, Citibank, e la Bank of
America. Al centro di quest'altra vicenda ci sono i metodi fraudolenti utilizzati nei pignoramenti giudiziari di case
ai debitori insolventi. Per accelerare le pratiche (che al culmine della crisi colpivano milioni di famiglie americane)
le banche calpestarono ogni sorta di regola, per esempio col ricorso alle "firme robotizzate" di atti giudiziari, con
funzionari che per velocizzare il lavoro non leggevano neppure la documentazione a loro sottoposta.
3
Non si consideri esaustivo l’elenco dei disastri finanziari, sono citati solo alcuni tra i più eclatanti.
4
L’espressione Minsky moment è stata coniata da Paul McCulley, asset manager di Pacific Investment Management
Company (PIMCO) e autore di una seguita newsletter, per indicare il culmine della crisi russa nel 1998. Il termine è
stato poi ripreso e rilanciato per indicare il culmine della crisi dei subprime.
7
speculazioni sull’indice Nikkei: quando fu scoperto era troppo tardi. Un’artigianale
fotocopia, data e presa per buona bilancio dopo bilancio, attestava che la Parmalat
disponeva di un deposito bancario per 3,95 miliardi di euro: falso. Una frode
contabile reiterata per cinque trimestri consecutivi consentì ad Enron di apparire in
utile mentre era in perdita. Bernard Madoff ha copiato e ingigantito
l’intramontabile schema-Ponzi. Alla Société Générale, la versione ufficiale dice che
un solo operatore era in grado di impegnare la banca per oltre 50 miliardi di euro in
derivati, oltre a tenerne direttamente lui la contabilità per stivare le perdite, con una
normale scrittura su un conto tecnico, che ha dovuto diventare paurosamente
rigonfio prima di essere osservato.
Le autorità politiche, istituzionali, di regolazione ed accademiche, pressate dalle
nefande conseguenze subite da schiere di portatori-di-interessi-stakeholders,
dovettero riconoscere che gli esistenti presidi normativi e di controllo erano fatui,
pur non difettando di formale ampia articolazione: agenzie di regolazione, agenzie
di rating, collegi sindacali, auditors, officers, comitati e procedure di gestione del
rischio, revisori indipendenti di bilancio.
Figura 1.1. Regolamentazioni globali
da: Atos Consulting, “Tackling compliance to reap long-term benefit”, Research report 2006
Oltreoceano, nel luglio 2002 fu emanato il Sarbanes-Oxley Act (Sox): la speditezza
legislativa su un provvedimento di riforma strutturale fu dettata dall'esigenza di
ridare, velocemente, fiducia al pubblico. La comunità finanziaria internazionale
8
corse ai ripari riformulando gli originari Accordi di Basilea
5
per il rafforzamento
patrimoniale e dei sistemi di controllo sul sistema finanziario. In Italia entrarono in
vigore nel 1998 il Testo Unico sull’Intermediazione Finanziaria, e nel 2003 una
profonda riforma del diritto societario. Obiettivi comuni di codeste legislazioni
(schema in figura 1.1) sono la credibilità e la trasparenza dell’amministrazione
societaria e contabile al fine di proteggere i depositanti e gli investitori
incrementando l’accuratezza e l’affidabilità dell’informativa societaria.
1.01 Il sistema dei controlli
Approdando all’argomento della tesi, si consideri che le nuove codificazioni hanno
rafforzato il controllo che gli operatori economici devono tenere al proprio interno
6
.
La teorizzazione di fondo è cambiata, passando dal concetto di controllo come mera
sequenza di verifiche più o meno obbligatorie per legge, a una prospettiva di
sistema dei controlli, e con ciò mutando anche la funzione di vari organi ad esso
preposti nelle aziende. Paradigmi quali “regolazione per principi”,
“proporzionalità”, “gradualità” ed “integrazione” sono diventati il modus operandi
delle tecniche legislative e regolatorie, con ciò intendendo che le norme valgono per
tutti ma devono poi essere tarate dalla e nella specifica organizzazione produttiva e
finanziaria.
In base alle leggi, il controllo sull’operato delle istituzioni finanziarie assume uno
schema gerarchico che vede intervenire Autorità Pubbliche di Regolazione, modelli
e strutture di governance delle aziende, incaricati esterni della revisione contabile e
diverse funzioni endosocietarie che presidiano gli accadimenti aziendali tramite un
“sistema integrato dei controlli interni” articolato su tre livelli.
Figura 1.2. Il sistema dei controlli interni
5
Basilea II: nel 1998 è stato discusso il primo consultation paper, il framework si è poi completato nel 2004
6
In appendice al capitolo si veda il paragrafo 3.2 – Funzione di conformità alle norme (compliance) – al Titolo V,
capitolo 7 delle “Nuove disposizioni di vigilanza prudenziale per le Banche” emanate da Banca d’Italia
(aggiornamento n. 15 del 2 luglio 2013)
9
Funzionerà? Qui la domanda è retorica perchè la risposta è fuori dalla portata di
questa tesi, ai cui fini preme solo evidenziare che l’origine dei problemi, quale ne
sia il livello di sofisticazione tecnologica, è sempre e comunque da ricondurre a
comportamenti umani. Il rispetto della legalità e la correttezza negli affari sono
elementi indispensabili dell’attività d’impresa, fondata sulla fiducia. Peraltro,
l’evoluzione dei mercati finanziari, in termini di innovazione dei prodotti, di
trasferimento di rischi e di proiezione internazionale, rende più complessi
l’identificazione e il controllo dei comportamenti che possono costituire violazione
delle norme, degli standard operativi, dei principi deontologici ed etici. Gli
indicatori di rischio, oggetto dei prossimi capitoli, altro non sono che indicatori di
comportamenti: segnalano quel che sta succedendo, ma raggiungono il loro scopo
se chi di dovere, dopo averli osservati e capiti, reagisce di conseguenza
7
.
1.02 Il rischio di comportamenti “non compliant”
Il rischio di “non compliance” deriva da comportamenti aziendali che non sono
conformi alle leggi, ai regolamenti e agli standard di condotta. In questo contesto di
criticità rientrano anche i comportamenti difformi dalle best practices di mercato od
alle particolari disposizioni di servizio dettate all’interno della singola banca. Il
disallineamento dei comportamenti interni dagli standard di riferimento è un
approccio innovativo introdotto dal Comitato di Basilea, il cui documento sulla
compliance dà una grande rilevanza a tutte le regole di condotta adottate
autonomamente e sviluppate internamente dalle banche. Basilea II definisce il
“compliance risk”, come “the risk of legal or regulatory sanctions, financial loss, or
loss to reputation a bank may suffer as a result of its failure to comply with all
applicable laws, regulations, codes of conduct and standards of good practice
(together “laws, rules and standards”)”
8
.
Non rispettare le leggi, le politiche e le procedure operative interne al singolo
intermediario ha questi effetti principali:
incorrere in sanzioni legali civili, penali, interdittive o di blocco permanente
(ritiro) o temporaneo (sospensione) dell’attività o della licenza;
subire sanzioni irrogate da organi di vigilanza (Banca d’Italia Consob, , UIF,
IVASS, COVIP, ecc.), come ad esempio: multa ad amministratori, dirigenti,
dipendenti, sindaci, revisori, ecc.;
7
Nel caso Société Générale, nel periodo tra luglio 2006 e settembre 2007, scattarono 24 Alerts nel Sistema Interno
dei Controlli, segnalando inutilmente il supero dei limiti autorizzati per le transazioni in corso.
8
Bank for International Settlements, Basel Committee on Banking Supervision, “Compliance and the compliance
function in banks”, April 2005. www.bis.org. Oltre a tale documento si vedano anche Bank for International Settlements
(BIS) www.bis.org; Compliance Framework for Internal Control System in Banking Organizations, September 1998; Enhancing
Corporate Governance for Banking Organizations, September 1999; Internal Audit in Banks and the Supervisor’s Relationship
whit auditors, August 2001; Sound practices for the Management and Supervision of Operational Risk, February 2003;
International Convergence of Capital Measurement and Capita Standards – A Revised Framework, june 2004; The Joint Forum,
- Outsourcing in Financial Services, February 2005
10
subire perdite di natura finanziaria causate da eventi di non conformità
normativa in grado di compromettere la stabilità economica e finanziaria
dell’intermediario stesso all’interno del sistema;
subire perdite di natura finanziaria causate dalla riduzione del valore del
marchio o della rete utilizzata (di sportelli, di promotori, di private bankers,
ecc.), dall’abbandono di migliori opportunità di business, dall’ingessatura
all’espansione della banca;
subire la perdita della reputazione o dell’immagine, in caso di mancata aderenza
alle leggi applicabili, alla regolamentazione, ai codici di condotta, e agli
standard di una best practice operativa;
pagamento di significativi risarcimenti danni;
pagamento di sanzioni, ammende legate a condotte illegali o elusive (ad esempio
su temi fiscali, legali, ecc.), realizzate per favorire clienti, ma in grado di
aggirare precisi requisiti regolamentari obbligatori (segnalazione all’autorità di
Vigilanza, redazione di reporting non conforme, ecc.), in danno dell’immagine e
della reputazione.
Figura 1.3. ALBERO DELLE SANZIONI
9
All’albero delle sanzioni di cui a fig. 1.3 consegue un modello per la mappatura dei
rischi, anche reputazionali, ed un piano per la loro mitigazione. Il modello, in primo
9
Tratto da Newsletter Alfirm, Francesco Rescigno (Iccrea Banca), 2010, Aprile-maggio-giugno, Il ruolo della funzione
di Compliance nel sistema dei controlli interni: aspetti di misurazione e valutazione del rischio di non conformità ai fini della tutela
della reputazione dell’intermediario.