Il 6 aprile 2021, l’ESMA ha pubblicato un aggiornamento degli Orientamenti concernenti i requisiti della MIFID II per la Funzione di Compliance emanati nel corso del 2012 in linea con l’art. 22 del Regolamento Delegato 2017/565 (Regolamento Delegato) del 25 aprile 2016.
Il documento, che si compone di 12 orientamenti è destinato alle imprese e alle Autorità di vigilanza che dovranno conformarsi agli stessi a partire dal 6 giugno 2021.
I nuovi Orientamenti che aggiungono, rispetto ai precedenti del 2012, l’orientamento in materia di “qualifiche, conoscenze, competenze e autorità della funzione in parola”, disegnano il processo che deve essere seguito dalla funzione di controllo nell’ambito delle proprie attività e ne stabiliscono le finalità e le caratteristiche organizzative.
L’ambito soggettivo di applicazione è individuato nei soggetti autorizzati allo svolgimento dei servizi di investimento siano essi società di investimento, banche o gestori di fondi UCITS o FIA.
In linea generale, gli Orientamenti delineano principi, prassi operative e metodologie che possiamo riscontrare essere proprie della funzione di Compliance nell’ambito di attività anche diverse dai richiamati servizi di investimento.
Un punto centrale sottolineato dagli orientamenti e che caratterizza l’approccio risk based su cui è disegnata l’intera normativa europea in materia di controlli, è la necessità per la funzione di condurre un esercizio di valutazione (che potremmo definire anche di autovalutazione) del rischio di conformità cui è esposta l’impresa in relazione ai servizi svolti (anche connessi o strumentali all’attività principale), ai prodotti trattati, alle caratteristiche della clientela e della struttura organizzativa. Tale esercizio è posto alla base delle attività e dei programmi che la funzione è chiamata a svolgere con l’obiettivo di orientare e gestire il rischio di conformità e di reputazione che sono dalla stessa presidiati in un’ottica preventiva.
L’esercizio di valutazione, che dovrà preventivamente mappare la normativa applicabile all’impresa, dovrà essere svolto individuando una metodologia che permetta la misurazione del rischio di conformità secondo logiche che la stessa normativa richiama essere vicino a quelle utilizzate nell’ambito del risk management. Ciò permette anche di misurare la distanza tra la situazione del rischio di conformità accettabile dall’impresa e quello che effettivamente è il rischio che l’impresa ha in un determinato momento e implementare un programma di attività della funzione al fine di condurre l’impresa stessa verso un sentiero di raggiungimento del rischio di conformità target. Inoltre, l’adozione di logiche metodologiche vicine a quelle di risk management permetterebbe l’integrazione nella matrice dei rischi aziendali anche del rischio di conformità.
Dal punto di vista del disegno del perimetro di attività della funzione Compliance, gli Orientamenti focalizzano le materie di elezione sui cui è impegnata la funzione nell’assicurare la conformità dei processi e delle procedure aziendali con particolare riferimento anche alle policy di remunerazione e incentivazione, nei controlli sulla product governance che rappresentano l’architrave di un corretto rapporto impresa-cliente, nell’attività di consulenza nell’ambito delle evoluzioni organizzative, di processo e di prodotto, nonché nello sviluppo della c.d. “cultura della conformità” che vede la funzione impegnata in collaborazione con altre strutture aziendali nello sviluppo e nello svolgimento di programmi di formazione diretti anche ad implementare il livello di competenza e conoscenza con particolare riferimento a tutte le strutture coinvolte nei servizi di investimento. L’ambito di attività della funzione, nel disegno degli Orientamenti dell’ESMA, è diretto a indicarne la finalità di prevenzione del rischio attraverso un’azione svolta ex ante sia nell’ambito dei processi e dell’organizzazione che nell’ambito dei rapporti con la clientela dell’impresa. Tra gli strumenti utilizzabili dalla funzione, vengono citate anche le verifiche on site da svolgersi al fine supervisionare il materiale svolgersi dei processi sensibili anche con riferimento al controllo della presenza di controlli di linea che devono essere implementati sugli stessi.
Gli Orientamenti, nel ripercorre le caratteristiche strutturali della funzione di controllo come caratterizzata dall’indipendenza dalle strutture operative, pongono l’accento, nell’ambito di applicazione del principio di proporzionalità, sulla dotazione di risorse umane quali-quantitativamente adeguate e rimarcano la necessità che la funzione sia altresì dotata di risorse informatiche e finanziarie. Le risorse informatiche permettono alla funzione di accedere a tutti i sistemi aziendali, attività essenziale anche per poter esercitare quel controllo preventivo dell’attività proprio della funzione specialmente laddove i sistemi informativi posti alla base dello svolgimento del servizio di investimento ne caratterizzano l’elevata automazione, mentre le risorse finanziarie permettono alla funzione di agire con maggiore autonomia accedendo a competenze specialistiche riguardo a particolari problematiche che potrebbe trovarsi ad affrontare.
Nel richiamare il principio di proporzionalità, vengono declinate puntualmente le variabili da prendere in considerazione al fine di strutturare la funzione in termini di risorse e requisiti organizzativi anche in relazione alla possibilità di poter usufruire delle esenzioni di cui all’art. 22, par. 3, lettere d) ed e) del Regolamento Delegato (sostanzialmente poter organizzare la funzione in modo che le risorse della stessa possano essere “decentrate” anche presso altre strutture operative e strutturare in modo maggiormente flessibile il sistema retributivo dei soggetti rilevanti che appartengono alla funzione stessa). Il principio di proporzionalità governa anche la posizione organizzativa della funzione di Conformità e l’attribuzione dei compiti della stessa ad altre funzioni di controllo (ad es. Antiriciclaggio o Risk management) o alla funzione Legale dell’impresa, purché vengano garantiti l’indipendenza nello svolgimento dei compiti della funzione e gestiti adeguatamente gli eventuali conflitti di interesse.
La più importante novità degli Orientamenti è nella definizione dei requisiti di conoscenza, competenza e autorità della funzione Compliance. In questo ambito vengono specificati i requisiti di conoscenza che deve possedere il personale addetto alla funzione nonché di competenza acquisita anche attraverso la maturazione di esperienze nell’ambito di analoghi incarichi ricoperti. Importanti sono i requisiti richiesti per il responsabile della funzione che oltre a possedere elevate conoscenze e competenza, deve anche essere dotato di doti di autorevolezza. E’ richiesto altresì il focus sull’autorità della funzione nell’ambito della struttura organizzativa da raggiungersi con il particolare committment da parte dell’alta direzione. Per i requisiti di conoscenza e competenza, gli Orientamenti possono trovare una declinazione ancora più puntuale nell’ambito dell’ordinamento italiano con riferimento ai requisiti del Responsabile della funzione Compliance nell’ambito dell’art. 20 del Decreto del Ministero dell’Economia e delle Finanze n, 169 del 23 novembre 2020 che delinea in modo puntuale i requisiti di idoneità dei Responsabili delle principali funzioni aziendali nelle banche significant. Si vogliono richiamare in questa sede anche gli Orientamenti congiunti della stessa ESMA e dell’EBA sulla valutazione dei requisiti di idoneità dei requisiti degli esponenti aziendali ai sensi della Direttiva CRD IV e MIFID II, nell’ambito dei quali vengono declinati i requisiti anche per i Responsabili delle principali funzioni aziendali.
In definitiva, deve essere perseguito un equilibrio nell’ambito dell’adeguato svolgimento delle attività delle funzione Compliance tra le caratteristiche di indipendenza, autorevolezza, autorità che devono essere assicurate rispettivamente dalla posizione organizzativa della funzione, dal bagaglio di conoscenze ed esperienze degli addetti alla funzione con particolare riferimento al Responsabile e dal committment che la funzione riceve nell’ambito della struttura organizzativa da parte dell’alta dirigenza.
Relativamente all’esternalizzazione della funzione, qui ci si limita a considerare che la stessa, essendo una funzione di controllo, richiede i presidi propri previsti nell’ambito dell’ordinamento comunitario e nazionale per l’esternalizzazione delle funzioni essenziali o importanti. L’applicazione di quanto previsto dal Regolamento Delegato e dalla MIFID II per le imprese che forniscono servizi di investimento in materia di esternalizzazione è fatta salva dagli Orientamenti dell’EBA in materia di outsourcing del 25 febbraio 2019. Comunque, come sopra detto, i principi e le procedure indicati dagli Orientamenti in materia di esternalizzazione della funzione di Conformità per le imprese che forniscono servizi di investimento rimangono nell’alveo dei principi generali previsti per l’esternalizzazione delle funzioni di controllo.
Riguardo alle indicazioni destinate alle Autorità, l’Orientamento n. 12 richiede alle stesse di condurre una revisione dei requisiti della funzione di Compliance in sede autorizzativa e on going nell’ambito della vigilanza continuativa esercitata sugli intermediari. Inoltre, viene fornita una panoramica sulle diverse prassi di vigilanza seguite dalle autorità nazionali europee per attuare operativamente la revisione dei requisiti della funzione con l’auspicio che le migliori prassi possano essere adottate dalle Autorità per raggiungere l’obiettivo di avere funzioni di controllo efficienti ed efficaci nello svolgimento dei loro compito di individuazione, gestione e controllo del rischio di conformità.