L’accorpamento delle funzioni di compliance e risk management in un intermediario ex art. 106 t.u.b.

Aggiornato il: 23 apr 2019

1. L’evoluzione della disciplina del governo societario nei soggetti vigilati si iscrive nel vasto processo di trasformazione che il diritto societario e, più in generale, il diritto dell’impresa viene subendo da alcuni anni. Ci si riferisce alla progressiva attenzione riservata dal legislatore ai principi e alle regole relativi al governo della società e all’organizzazione dell’impresa; a profili, dunque, concernenti, per così dire, l’interno della impresa e non (se non indirettamente) i suoi rapporti e le sue relazioni con l’esterno.

Questa evoluzione - o, se si preferisce, questa fase storica del diritto commerciale - è oramai giunta a un tale livello di maturazione che appare inutile segnalarne, in questa sede, le tante manifestazioni.

Qui è importante rilevare come essa si appalesi con nettezza proprio nei settori dei mercati regolati e, in particolare, nel mercato finanziario, che di questo processo evolutivo indubbiamente ha costituito e continua a costituire il traino ([1]).

I principi in questione hanno ricevuto una prima trasposizione (oltre che nella Direttiva 2010/76/CE in tema di politiche remunerative nelle banche) nell’ambito degli Orientamenti dell’EBA emanati tra il 2011 e il 2012 in materia di organizzazione interna e requisiti di idoneità dei componenti degli organi sociali delle banche ([2]), sulla scia dei quali anche la Banca d’Italia è intervenuta nel 2012 per rafforzare il contenuto delle disposizioni interne in materia di governo societario e per richiamare le banche a prestare una maggiore considerazione a questo aspetto ([3]).

La situazione si è evoluta a seguito dell’approvazione, nel giugno 2013, della Direttiva 2013/36/UE (c.d. “CRD IV”), la quale ha segnato l’ingresso nella cornice normativa europea dedicata alle banche di regole in materia di corporate governance, inerenti, per lo più, all’organizzazione del sistema dei controlli interni e il processo di governo dei rischi.

Alla Direttiva ha fatto seguito l’emanazione da parte di Banca d’Italia, nel luglio 2013, del nuovo Capitolo 7 del Titolo V della Circolare 263/2006, incentrato sul sistema dei controlli interni, e, nel maggio 2014, del Capitolo 1, Titolo IV della Parte prima della Circolare 285/2013 dedicato al governo societario ([4]).

Quanto agli intermediari finanziari, il processo si è attuato con l’emanazione della Circolare 288/2015.

Il quadro è, infine, completato dalle recenti disposizioni per le società di gestione del risparmio (cfr. il Regolamento congiunto Banca d’Italia - Consob del 19 gennaio 2015), che rinviano a loro volta al Regolamento UE 231/2013 (sui gestori di fondi di investimento alternativi) ([5]).

La ratio di fondo degli interventi normativi, segnalata dalla CRD IV, è quella di “far fronte all’effetto dannoso che dispositivi di governo societario mal concepiti possono avere su una gestione del rischio sana” delle imprese finanziarie, cui consegue l’opportunità per gli Stati membri di introdurre principi e norme volti, da un lato, a permettere all’organo di gestione una sorveglianza efficace dell’attività di impresa e, dall’altro, a consentire all’Autorità di Vigilanza di monitorare l’adeguatezza dei dispositivi di governance (v. in particolare il considerando n. 54).

Fondamentale risulta il riferimento alla sana “cultura del rischio”, in coerenza con i suggerimenti già avanzati da tempo dall’EBA, oltre che per le banche, anche per le imprese finanziarie (“un ente dovrebbe sviluppare una cultura dei rischi integrata a tutti i livelli e estesa a tutto l’ente, basata sulla piena comprensione dei rischi che esso deve fronteggiare e delle modalità di gestione di tali rischi, in considerazione della propria tolleranza al rischio/appetito per il rischio”: così l’orientamento EBA n. 20.1, v. anche la CRD IV, considerando n. 54) ([6]).


2. All’esito del processo normativo sopra descritto, la Banca d’Italia ha definitivamente regolato sia le competenze dell’organo amministrativo, sia il sistema dei controlli interni.

Quanto all’organo amministrativo, ad esso spetta di approvare e riesaminare periodicamente le strategie e le politiche riguardanti l’assunzione, la gestione, la sorveglianza e l’attenuazione dei rischi.

L’organo amministrativo deve, in secondo luogo, stabilire la natura, la quantità, il formato e la frequenza delle informazioni sui rischi che gli devono essere trasmesse.

Infine, l’organo amministrativo ha il compito di partecipare attivamente alla gestione di tutti i rischi, dedicando tempo sufficiente all’analisi di questioni connesse con i rischi e garantendo che siano destinate risorse adeguate a tal fine.

Gli amministratori devono quindi, oltre che amministrare con diligenza la società (impegnandosi, ciascuno secondo i propri ruoli, per il tempo necessario anche alla gestione dei rischi), costruire o valutare l’adeguatezza degli assetti organizzativi deputati al trattamento dei rischio (cfr. Circolare 285/2013, Tit. IV, Cap. III, Sez. I, § 3; Circolare 288/2015, Tit. III, Cap. I, Sez. III, § 2).

Le norme citate traducono il concetto della c.d. “board ownership” del sistema di gestione del rischio; in altri termini, l’idea della necessaria “padronanza”, da parte dell’organo amministrativo, del sistema di gestione del rischio e, dunque, per il tramite di tale sistema, dell’effettivo rischio imprenditoriale.

L’organizzazione (il «sistema») è, dunque, prima di tutto, funzionale a consentire all’organo amministrativo di gestire (i rischi del)l’impresa.

L’assetto regolamentare così concepito viene sintetizzato nei seguenti termini dagli Orientamenti dell’EBA: “le unità operative, sotto la supervisione dell’organo gestorio, dovrebbero essere principalmente responsabili della gestione dei rischi su base giornaliera, in considerazione della tolleranza al rischio/appetito per il rischio dell’ente e in linea con le sue politiche aziendali, le procedure e i controlli” (dove particolare importanza viene assegnata alla supervisione, da leggere nel senso di amministrazione attiva, da parte dell’organo amministrativo: v. l’Orientamento n. 20.1).


3. Venendo al sistema dei controlli interni, la disciplina ribadisce che tale sistema - costituito dall’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare in primo luogo il rispetto della sana e prudente gestione - riveste un ruolo centrale nell’organizzazione aziendale.

La normativa dispone che, a prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo:

- controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto svolgimento delle operazioni;

- controlli sui rischi e sulla conformità (c.d. “controlli di secondo livello”), che hanno l’obiettivo di assicurare, tra l’altro: (a) la corretta attuazione del processo di gestione dei rischi; (b) il rispetto dei limiti operativi assegnati alle varie funzioni; (c) la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione.

- revisione interna (c.d. “controlli di terzo livello”), volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità del sistema dei controlli interni.

La disciplina precisa che le due funzioni di “controllo sui rischi” (risk management) e di “controllo sulla conformità” (compliance) “concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi” (cfr. Circolare 285/2013, Tit. IV, Cap. III, Sez. I, § 6; Circolare 288/2015, Tit. III, Cap. I, Sez. III, § 1).


4. Quanto, più specificamente, al ruolo delle due citate funzioni di risk managent e di compliance, il passaggio citato da ultimo è, a mio avviso, molto significativo perché chiarisce che le due funzioni – oltre che essere collocate sullo stesso livello – “concorrono” nella propria operatività per realizzare gli obiettivi di legge.

Questo “concorso”, oltre che normativamente previsto, è, peraltro, coerente con il ruolo aziendale delle due funzioni, come – in particolare – chiarito dagli orientamenti dell’EBA (poi puntualmente riflessi nella disciplina comunitaria e nazionale).

L’EBA specifica (v. l’Orientamento n. 25.2) che “la funzione di controllo dei rischi dovrebbe garantire che tutti i principali rischi cui l’ente è esposto siano individuati e adeguatamente gestiti dalle pertinenti unità dell’ente, e che un quadro complessivo di tutti i rischi rilevanti sia sottoposto all’organo gestorio. La funzione di controllo dei rischi dovrebbe fornire rilevanti e indipendenti informazioni, analisi e pareri di specialisti sull’esposizione ai rischi, e consulenza su proposte e decisioni in materia di rischi adottate dall’organo gestorio e dalle unità operative o di supporto con riferimento alla coerenza di tali proposte e decisioni con la tolleranza al rischio/appetito per il rischio dell’ente. La funzione di controllo dei rischi potrebbe raccomandare l’apporto di miglioramenti al sistema di gestione dei rischi e opzioni per porre rimedio a violazioni delle politiche aziendali, delle procedure e dei limiti operativi in materia di rischi”.

In secondo luogo, l’EBA aggiunge che la funzione deve consentire “l’attuazione delle politiche aziendali in materia di rischi e controllare il sistema di gestione dei rischi” (Orientamento n. 25.3); essa deve garantire poi che “tutti i rischi individuati possano essere effettivamente monitorati dalle unità operative” (26.11) (“un quadro complessivo di tutti i rischi rilevanti” deve essere “sottoposto all’organo gestorio”: 25.2).

Ne deriva – in sintesi – che la funzione di risk management ha, da un lato, un ruolo essenziale di risk assessment e di risk monitoring e, dall’altro, di cooperazione con l’organo amministrativo in questo ambito ([7]).

Quanto alla funzione di compliance, l’EBA dispone che la funzione è chiamata a “gestire il rischio di non conformità”. Essa deve “riferire all’organo gestorio e – se del caso – alla funzione di controllo dei rischi in merito alla gestione del rischio di non conformità da parte dell’ente” e deve “fornire consulenza all’organo gestorio sulle leggi, le norme, i regolamenti e gli standard che l’ente è tenuto ad osservare, e dovrebbe valutare il possibile impatto di ogni modifica al contesto normativo e regolamentare sulle attività dell’ente” (§§ 28.1, 4 e 5).

Anche la funzione di compliance, dunque, riveste un ruolo di risk assessment e di risk monitoring (sia pure più specifico e circoscritto rispetto a quello gestito dalla funzione di risk management) e deve cooperare con l’organo amministrativo in questo ambito (oltre che con la stessa funzione di risk management).

Gli stessi orientamenti dell’EBA, più in generale, richiedono agli intermediari di dotarsi di un sistema globale di gestione del rischio, che si estenda a tutte le unità operative, di supporto e di controllo, che riconosca pienamente la sostanza economica delle esposizioni al rischio e “ricomprenda tutti i rischi rilevanti (ad esempio quelli finanziari e non finanziari, nel bilancio e fuori bilancio, se contingenti o contrattuali, oppure no)”, con la conseguenza che “il suo ambito non dovrebbe limitarsi ai rischi di credito, di mercato, di liquidità e operativi”, ma dovrebbe anche includere altre tipologie di rischio (di concentrazione, reputazionali, di conformità alle norme, strategici, etc.) (v. l’Orientamento n. 20.4).

D’altra parte – come evidenziato dalla più attenta dottrina – “funzione di compliance significa attività (: la funzione, appunto) volta a sistemare in via preventiva il rischio di comportamenti dell’impresa […] non conformi alle norme. Alle norme in genere, per la verità; per il contesto che qui interessa in modo immediato, alle norme giuridiche in specie” ([8]); parimenti la funzione di risk management è chiamata a contenere i rischi che derivano pur sempre da una mancanza di conformità, in questo caso a norme giuridiche o della tecnica bancaria e/o dell’intermediazione finanziaria ([9]).


5. Il ruolo attributo normativamente alle due funzioni spiega e giustifica, dunque, la logica del possibile accorpamento delle stesse (tanto nelle banche, quanto negli intermediari finanziari).

In proposito la disciplina prevede che “se coerente con il principio di proporzionalità, le banche possono, a condizione che i controlli sulle diverse tipologie di rischio continuino ad essere efficaci […] affidare a un’unica struttura lo svolgimento della funzione di conformità alle norme e della funzione di controllo dei rischi” (cfr. Circolare 285/2013, Tit. IV, Cap. III, Sez. I, § 6).

Allo stesso modo, per gli intermediari iscritti nell’elenco ex art. 106 t.u.b. la Circolare n. 288/2015 precisa che “se coerente con il principio di proporzionalità e a condizione che i controlli sulle diverse tipologie di rischio continuino a essere efficaci, gli intermediari finanziari possono: […] affidare lo svolgimento della funzione di conformità alle norme e della funzione di controllo dei rischi alla medesima struttura” e che “le funzioni di conformità alle norme e di controllo sui rischi non possono essere affidate alla funzione di revisione interna” (cfr. Circolare 288/2015, Tit. III, Cap. I, Sez. III, § 1).


6. Resta fermo, invece, l’obbligo di mantenere la separatezza tra le funzioni e i reparti operativi dell’intermediario.

In particolare è previsto che i responsabili devono essere collocati in una posizione gerarchico-funzionale adeguata, non devono avere responsabilità diretta di aree operative sottoposte a controllo né essere gerarchicamente subordinati ai responsabili di tali aree.

Quanto al personale che partecipa alle funzioni aziendali di controllo, lo stesso non deve essere coinvolto in attività che tali funzioni sono chiamate a controllare.

Nel rispetto di tale principio, peraltro, nelle banche e negli intermediari di dimensioni contenute o caratterizzate da una limitata complessità operativa, il personale incaricato di compiti attinenti al controllo di conformità alle norme o al controllo dei rischi, qualora non sia inserito nelle relative funzioni aziendali di controllo, può essere integrato in aree operative diverse; in questi casi, tale personale riferisce direttamente ai responsabili delle funzioni aziendali di controllo per le questioni attinenti ai compiti di tali funzioni (cfr. Circolare 285/2013, Tit. IV, Cap. III, Sez. I, § 1; Circolare 288/2015, Tit. III, Cap. I, Sez. III, § 2).

[1] In tema si vedano, ex multis, P. Marchetti, Disposizioni di vigilanza su organizzazione e governo societario delle banche, in Riv. soc., 2012, 415; P. Montalenti, Amministrazione e controllo nella società per azioni tra codice civile e ordinamento bancario, in Banca, borsa, tit. cred., 2015, 707 ss.; C. Amatucci, Vigilanza, gestione dei rischi e responsabilità degli amministratori di società quotate, in Riv. soc., 2015, 350 ss.


[2] Si tratta, rispettivamente, dei documenti: EBA, Orientamenti sull’organizzazione interna, 2011, ed EBA, Orientamenti sulla valutazione dell’idoneità dei membri dell’organo gestorio e del personale che riveste ruoli chiave, 2012, entrambi consultabili su www.eba.europa.eu.


[3] Con la comunicazione dell’11 gennaio 2012 intitolata Applicazioni delle disposizioni di vigilanza in materia di organizzazione e governo societario.


[4] Sul tema degli assetti organizzativi delle banche v., nella letteratura italiana, spec. R. N. Limentani - N. Tresoldi, Le nuove disposizioni di vigilanza sul sistema dei controlli interni, sul sistema informativo e sulla continuità operativa, in Bancaria, 12/2013, 63 ss.; A. Minto, Assetti organizzativi adeguati e governo del rischio di impresa bancaria, in Giur. comm., I, 2014, 1165 ss.; S. Scotti Camuzzi, Le nuove disposizioni di vigilanza sul sistema dei controlli interni nelle banche: un commento introduttivo, in Banca, borsa, tit. cred., 2014, I, 147 ss.; C. Frigeni, Prime considerazioni sulla normativa bancaria in materia di “organo con funzione di supervisione strategica”, in Banca, borsa, tit. cred., 2015, 488 ss.; nonché già G. Lemme, Le disposizioni di vigilanza sulla governance della banche: riflessioni a tre anni dall’intervento, in Banca, borsa, tit. cred., 2011, I, 705 ss. e G. Scognamiglio, Recenti tendenze in tema di assetti organizzativi degli intermediari finanziari (e non), in Banca, borsa, tit. cred., 2010, I, 303 ss.


[5] Cfr. in proposito A. Vicari, Organo amministrativo e funzione di risk management nella società di gestione del risparmio, in Giur. comm, 2016, I, 25 ss.; M. Stella Richter, Governo e organizzazione delle società di gestione del risparmio, in Riv soc., 2016, p. 104.


[6] La relazione tra sviluppo della cultura e della gestione del rischio e compiti dell’organo amministrativo è da tempo posta al centro degli studi dedicati al risk management: v. ad es. C. Van Der Elst, The risk management duties of the board of directors, working paper n. 2/2013 del Financial Law Institute, maggio 2013, reperibile su www.law.ugent.be; C. D. Ittner - T. Keusch, The influence of board of directors’ risk oversight on risk management maturity and firm risk-taking, dattiloscritto, marzo 2015, reperibile su www.ssrn.com.


[7] La funzione risk management deve (negli intendimenti della Direttiva) (a) assicurare che tutti i rischi materiali siano individuati, misurati e adeguatamente segnalati, (b) partecipare attivamente alla definizione della strategia della società in materia di rischi e in tutte le decisioni fondamentali di gestione dei rischi e (c) fornire una visione completa dell’intera gamma di rischi cui l’impresa è esposta. Particolarmente significativo risulta l’art. 76, comma 5, alinea 3, della CRD IV, ai sensi del quale “se necessario, gli Stati membri garantiscono che la funzione di gestione dei rischi possa riferire direttamente all’organo di gestione nella sua funzione di supervisione strategica, indipendentemente dall’alta dirigenza, e possa sollevare preoccupazioni e avvisare detto organo, ove opportuno, qualora un’evoluzione specifica dei rischi interessi o possa interessare l’ente”.


[8] Così A. A. Dolmetta, Funzione di compliance e vigilanza bancaria, in Banca, borsa, tit. cred., 2012, I, 125 ss.


[9] Un approccio non dissimile sembra seguito anche dall’Autorità: “lo stesso impianto di vigilanza fonda buona parte della propria efficacia sulla capacità degli intermediari di valutare e gestire correttamente i rischi [complessivamente intesi]; gli orientamenti emersi dopo la crisi, non ultimo l’Accordo di Basilea 3, confermano tale impostazione”: così A. Tarantola (al tempo Vice Direttore Generale della Banca d’Italia, Il ruolo del risk management per un efficace presidio dei rischi: le lezioni della crisi, 2011, reperibile in http://www.bancaditalia.it/pubblicazioni/interventi-direttorio/int-dir-2011/Tarantola- 111.pdf. Di “trasversalità dei controlli [e] unitarietà nella gestione dei rischi” parla S. Mieli (al tempo Direttore Centrale per la Vigilanza Bancaria e Finanziaria della Banca d’Italia), Sistemi di controllo dei rischi e governo degli intermediari: una prospettiva di vigilanza, 2012, su http://www.dirittobancario.it/sites/default/files/allegati/07.02.2012.pdf.