Compliance e gestione del rischio reputazionale nelle Banche

La Funzione di Compliance previene i “rischi di sanzione” per significative perdite finanziarie o di reputazione cui le banche potrebbero incorrere in conseguenza del mancato rispetto di leggi, regolamenti, regole di comportamento, standard e codici di condotta applicabili alle attività bancarie. In proposito, appare necessario, dunque, richiamare una sana e prudente gestione, coerentemente con la disciplina prevista dal secondo Pilastro di Basilea 2[1].

Il processo non va considerato un mero costo: si può configurare, infatti, un rapporto diretto con il business dell’intermediario in termini di valore economico legato alla minimizzazione del rischio di non conformità. Più la minimizzazione è rilevante più il suo valore aumenta; pertanto, il suo ruolo va perorato fino a rendere il più possibile efficienti i processi ed intensificare le relazioni con le altre Funzioni aziendali (e, dunque, non solo quelle di controllo, ma anche quelle di business).

Il rischio di Compliance ha due componenti, una operativa e una reputazionale:

• La componente operativa si concretizza nel rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie per violazioni di norme di etero-regolamentazione e di autoregolamentazione.
• La componente reputazionale, invece, si concretizza nel rischio di sostenere un aggravio di perdite finanziarie derivanti da comportamenti non conformi e da una perdita di reputazione della banca. La prima componente si può sommare alla seconda.

Alla base dei principi del Comitato di Basilea vi è il riconoscimento delle attività di Compliance, intese quali misure finalizzate ad assicurare la conformità dell’attività bancaria, riferendosi soprattutto alla sostanza delle norme che la disciplinano, con il coinvolgimento di tutti i livelli dell’organizzazione della banca.

Fermo restando il principio della proporzionalità[2], la Funzione in oggetto è finalizzata all’assolvimento dei seguenti compiti principali:

• assistere i vertici aziendali nella predisposizione di procedure, codici interni di condotta e linee guida ai fini dell’esercizio dell’attività bancaria;
• identificare i rischi di Compliance associati a tale attività, compresi lo sviluppo di nuovi prodotti e di aree di business; individuare appropriati metodi di misurazione e gestione dei rischi di Compliance;
• predisporre un piano delle proprie attività.

La Funzione deve, inoltre, poter a) disporre di tutte le informazioni necessarie a svolgere la propria attività in modo esaustivo ed efficace; b) essere coinvolta nelle decisioni rilevanti dei vertici aziendali[3]; c) disporre di adeguata autorevolezza nei confronti delle altre Funzioni della banca con cui si interfaccia. Al tempo stesso, dovrà essere indipendente da tutte le altre aree e dal Management.

Fondandosi su valutazioni di carattere personale, la reputazione può essere considerata un fattore tipicamente soggettivo. Ciò implica una differente percezione da soggetto a soggetto, al punto che uno stesso evento negativo può essere interpretato come più o meno grave a seconda di chi lo valuta.

Dal suddetto evento non è sempre facile indicare a priori se e in quale misura possa conseguire un danno reputazionale per la banca; ciò perché le dimensioni del rischio reputazionale hanno una diretta relazione con la rilevanza esterna e la visibilità dell’evento.

Si possono menzionare, a titolo esemplificativo – ma non esaustivo – alcune condizioni in grado di accrescere la visibilità dell’evento negativo e, conseguentemente, aggravare il rischio che da questo possa derivare un concreto danno di immagine per la banca, tanto grave da generare danni economici e patrimoniali:

• numero di clienti significativo, potenziali clienti, o partner commerciali, che siano stati direttamente danneggiati dall’evento o che ne siano venuti a conoscenza, sia perché l’evento stesso ha interessato una molteplicità di rapporti, sia perché ne è stata data notizia dai mass media;
• dimensione degli importi coinvolti, riferibili a danni patrimoniali per la clientela, e/o se comportanti perdite per la banca tali da indebitare la solidità patrimoniale;
• violazione delle regole fondamentali su cui si basa il rapporto fiduciario banca/cliente;
• interessamento della banca in operazioni fiscalmente irregolari poste in essere dalla clientela;
• coinvolgimento doloso nell’evento di dipendenti della banca, specie se l’evento abbia comportato un’azione civile o penale a carico della banca o di alcuni dei suoi dirigenti/funzionari/esponenti aziendali;
• presenza di danni patrimoniali per i clienti che non siano stati immediatamente e positivamente risolti dall’azienda; in tal caso aumenterebbe la percezione della gravità e ancor più qualora il cliente abbia avviato un’azione presso l’organo Arbitrale o di risarcimento in sede di Tribunale Civile a seguito dell’evento non positivamente risolto;
• interessamento della banca in operazioni o in attività comunemente ritenute illecite o socialmente dannose;
• reiterazione dell’evento, ossia se l’evento è stato un episodio isolato o si sia ripetuto nel tempo e in diverse sedi dell’azienda;
• coinvolgimento anche per omissioni di vario tipo del Management della banca nell’evento stesso.

Più in generale, qualunque coinvolgimento della banca, e/o di esponenti aziendali, in procedimenti penali, ne lede gravemente l’immagine, minando il rapporto fiduciario che deve sempre sussistere tra banca e cliente, anche se afferenti a aspetti non direttamente originati dall’attività bancaria.

La regolamentazione sui requisiti patrimoniali delle banche[4] separa esplicitamente il rischio reputazionale dai rischi operativi e dai rischi di mancata Compliance, che vedono la banca esposta a possibili sanzioni, e ancor più dai rischi finanziari.

Tuttavia, è indubitabile che eventi non conformi ai previsti principi reputazionali potrebbero minare la solvibilità stessa della banca e, dunque, rendere opportuna una valutazione dell’adeguatezza patrimoniale. Si ripropone, pertanto, il tema del rapporto tra rischi di natura non finanziaria e patrimonio della banca.

Il Pillar 2, prevede che il rischio di reputazione faccia parte dei rischi d’impresa, insieme al rischio strategico ed a quello di business; ciascuno di essi genera una componente del rischio reputazionale. Quest’ultimo amplifica gli effetti economici dei rischi originari ed è, a sua volta, generatore di potenziale instabilità per la sua attitudine ad elevare i rischi di liquidità e di mercato.

Esiste una stretta correlazione tra il rischio di Compliance e quello reputazionale; la predisposizione di presidi organizzativi atti a prevenire violazioni di disposizioni normative mitiga i possibili danni reputazionali; coinvolge, inoltre, gli organi di management della banca, oltre alle funzioni aziendali di controllo.

Il danno reputazionale, non potendosi esprimere direttamente in termini monetari, non è facilmente determinabile. Gli intermediari sviluppano metodologie complesse per prevenire il relativo rischio e mitigare l’impatto economico–finanziario della banca.

A tal proposito, le metodologie più efficaci tendono ad individuare separatamente la componente di perdita operativa da quella reputazionale. Per le banche quotate, ad esempio, si verifica l’impatto del rischio reputazionale sui prezzi dei titoli, depurato dal valore contabile delle perdite annunciate.

Il processo di analisi delle problematiche di rischio reputazionale dovrebbe essere sempre realizzato preventivamente; è frequente, però, il caso in cui all’emersione a posteriori di un rischio reputazionale consegua, da parte della banca, la messa in atto di misure tese al contenimento del rischio stesso e alla minimizzazione dei danni.

L’Organo con Funzione di Supervisione Strategica[5] ha posto la Funzione di Compliance, individuata come unità responsabile del monitoraggio organico e sistematico del rischio reputazionale, a presidio di questa tipologia di rischio. La Funzione deputata porta avanti l’attività prevista anche per il tramite di altre strutture aziendali.

La Compliance effettua l’analisi, individua modalità preventive e interviene al manifestarsi del rischio reputazionale, o a posteriori, se non è possibile intervenire prontamente all’insorgere dello stesso. Tiene anche conto di fattori esogeni ed endogeni in grado di generare ricadute negative sulla reputazione della banca. Svolge nel continuo un’analisi qualitativa, non potendo determinare le proprie valutazioni esclusivamente sulla base di calcoli matematico-statistici puntuali.

La Funzione valuta i requisiti organizzativi e di conformità; verifica, inoltre, che in tutti i settori operativi della banca esistano meccanismi che assicurino il rispetto delle norme, soprattutto nell’ambito delle funzioni operative, attuando una responsabilizzazione di tutto il personale, favorendo la diffusione di una cultura aziendale di Compliance, a presidio dei rischi.

Le possibili misure da intraprendere in tema di gestione del rischio reputazionale comprendono, pertanto, una serie di interventi:

• minimizzazione delle cause (attività ex ante e di Risk Management) mediante:
  • sistemi di controllo adeguati;
  • formazione del personale;
  • cultura aziendale volta a minimizzare il rischio reputazionale;
  • efficacia e qualità della Funzione di Compliance;
  • protezione del marchio tramite monitoraggio giornaliero;
• minimizzazione dei danni (ex post) tramite:
  • efficacia nelle comunicazioni con i media;
  • sistema efficiente di gestione dei reclami;
  • tempestività nell’adozione di modifiche organizzative a seguito dei danni reputazionali.

È opportuno pianificare un insieme di procedure per la gestione, sia preventiva che a posteriori, del rischio. Vanno individuate le funzioni della banca, cui saranno delegate le varie attività sopra indicate, prevedendo anche opportuni “meccanismi di escalation”, contraddistinti da un progressivo aumento dei livelli aziendali coinvolti, fino a giungere, ove ritenuto necessario, all’Organo di Supervisione Strategica.

Per “meccanismo di escalation” si vuole intendere un processo che, a fronte di dubbi circa l’esistenza o la gravità di un potenziale rischio reputazionale, ovvero di dubbi in ordine alle modalità per la sua mitigazione, prevede il coinvolgimento di livelli di responsabilità progressivamente superiori. Il fine ultimo è l’individuazione di una decisione afferente alla problematica oggetto di analisi.

Dopo aver individuato una possibile causa di rischio, o riscontrato l’effettivo materializzarsi di un rischio reputazionale, le diverse funzioni interne dell’intermediario si attivano tempestivamente per:

• impedire il materializzarsi del rischio;
• minimizzare gli effetti dannosi dell’evento sull’immagine della banca presso il pubblico.

In entrambi i casi se ne deve dare immediata ed opportuna informativa alla Funzione di Compliance, e all’Organo responsabile della gestione del rischio reputazionale, che può essere rappresentato da un Comitato appositamente istituito o dal Comitato Rischi, cui viene dato mandato di seguire anche questo aspetto.

Nella soluzione del problema, che vede coinvolte più Funzioni, si ricorre all’assistenza della Funzione di Compliance; questa ha anche il compito di dare ausilio nell’attività di implementazione del processo di gestione del rischio e reputazionale e del suo progressivo affinamento. A sua volta, nel processo di monitoraggio del rischio reputazionale, detta Funzione può richiedere l’intervento di altre funzioni interne di volta in volta identificate e coinvolte, oltre a quelle di controllo.

Qualora si rendesse necessario un intervento coordinato tra varie Funzioni della banca, o il grado del rischio individuato venisse definito come attribuibile alle fasce “alto” o “critico”, il caso dovrà essere preventivamente sottoposto all’esame dell’Organo responsabile della gestione del rischio reputazionale.

Sono molteplici i fattori che determinano la sensibilità degli intermediari al rischio reputazionale. Poiché la buona reputazione è una delle condizioni essenziali per preservare la vita del soggetto, il monitoraggio e la prevenzione di tale rischio assumono un’importanza strategica.

Per quanto esposto, identificando alcune fattispecie tipiche connesse all’attività bancaria, si delinea un’articolazione con preventiva attribuzione a un evento di una fascia di rischio reputazionale, distinguendo tra rischio “basso”, “medio”, “medio-alto”, “alto”, “critico” (le fattispecie di seguito esposte vengono riportate a solo titolo esplicativo e non esaustivo).

Il rischio reputazionale per la banca è definito “basso” in presenza di evento con i seguenti elementi:

• abbia interessato uno o pochi clienti;
• sia stato casuale e non ripetuto;
• non sia stato diffuso mediaticamente;
• sia stato tempestivamente e positivamente risolto dalla banca, senza generare danni patrimoniali al cliente o inconvenienti alla sua ordinaria attività commerciale o familiare;
• sia riconducibile a un caso fortuito, connesso all’ordinaria attività operativa e non riferibile ad un comportamento doloso o ad una gestione poco trasparente/poco professionale da parte della banca nei riguardi del cliente.

Potrebbe rientrare tra eventi della specie un errato/ritardato accredito sul conto corrente del cliente imputabile a problemi operativi, che sia stato tempestivamente sistemato anche per valuta, senza generare disguidi per il cliente medesimo (ad esempio, storni di addebiti o mancate esecuzioni di ordini di pagamento precedentemente disposti).

Il rischio reputazionale per la banca è definito “medio” in presenza di evento con i seguenti elementi:

• non sia stato diffuso dalla stampa;
• abbia interessato numerosi clienti;
• si sia ripetuto nel tempo e presso diverse sedi della banca;
• possa essere percepito dai clienti quale esito di una gestione poco trasparente o poco professionale da parte della banca del rapporto con il cliente, pur se non imputabile a comportamento doloso;
• sia riferibile a carenze nell’organizzazione della banca, nei sistemi informativo/gestionali e nelle procedure di controllo interno;
• non possa trovare da parte della banca una tempestiva soluzione, provocando al cliente danni patrimoniali o inconvenienti alla sua ordinaria attività commerciale o familiare, anche se per la banca fosse possibile, a posteriori. sistemare la posizione.

Un evento simile potrebbe essere rappresentato da una anomalia nell’interfaccia tra le procedure titoli e conti correnti, con sistematica generazione sui conti correnti di addebiti/accrediti per controvalori errati o in date errate, con provocazione di danni patrimoniali o seri disguidi ai clienti medesimi.

Questo evento, soprattutto se reiterato, comporterebbe un giudizio negativo sulla affidabilità delle strutture tecniche e organizzative della banca da parte del cliente, tale da indurlo a risolvere il rapporto con la stessa.

L’evento che presenta uno o più dei seguenti elementi oltre, o in alternativa, alle caratteristiche prima menzionate, può esporre la banca a un rischio reputazionale “alto” o “critico”:

• per la sua gravità o natura possa divenire di pubblico dominio, con diffusione sui media;
• abbia comportato alla clientela danni patrimoniali molto diffusi o particolarmente gravi (in particolare se non fosse possibile offrire una tempestiva soluzione) e, in ogni caso, tale da ingenerare la convinzione di violazione delle regole fondamentali su cui si basa il rapporto fiduciario intermediario – cliente;
• possa generare danni patrimoniali, in grado di indebolirne la solidità e, quindi, la percezione di affidabilità presso il pubblico;
• possa comportare, da parte di singoli clienti, l’avvio di azioni in sede civile o penale contro la banca, o suoi esponenti, non escludendo il coinvolgimento di associazioni di consumatori o della Procura;
• possa comportare l’irrogazione di sanzioni da parte delle Autorità di Vigilanza.

Può esporre a un rischio reputazionale “alto” o “critico” un evento in grado di coinvolgere i Vertici Aziendali, in modo particolare se a motivo di denunce penali (lesioni del principio della onorabilità degli esponenti aziendali).

Gli eventi della specie possono causare frequentemente gravissimi danni (soprattutto di natura patrimoniale) all’intermediario, derivanti da eventuali azioni risarcitorie e ricadute sulla fiducia verso l’azienda; da questo, ne discenderebbero i seguenti effetti:

• perdita di quote di mercato, dovuta all’affievolirsi del rapporto fiduciario con la clientela, oppure dovuta alla chiusura dei rapporti in essere o alla mancata apertura di nuovi rapporti, con conseguente perdita di volumi di raccolta diretta o indiretta;
• maggiore difficoltà a reperire capitale di rischio, crescita del costo del capitale e più in generale, minore economicità delle condizioni di approvvigionamento del capitale sui mercati nazionali e internazionali;
• downgrading del mercato creditizio e possibile peggioramento delle condizioni di solvibilità che potrebbero determinare anche un accrescimento delle volatilità sui prezzi degli strumenti finanziari emessi dalla banca, con l’ulteriore rischio di esporli anche a manovre di carattere speculativo. Il downgrading potrebbe portare (anche) alla perdita di clientela istituzionale di deposito, peggiorando la posizione di liquidità della banca, e potrebbe portare alla difficoltà nel partecipare a operazioni di collocamento dei titoli di primaria clientela, a Consorzi per finanziamenti in pool o ad altre operazioni con clientela di elevato standing;
• esposizione a crescenti pressioni concorrenziali;
• rischio di perdere risorse umane qualificate e allo stesso tempo, difficoltà di attrarre personale; questo per una riduzione del grado di motivazione e identificazione con la mission aziendale del personale;
• costi necessari, diretti e indiretti, per recuperare la reputazione;
• perdita di opportunità strategiche (fusioni e acquisizioni).

Il danno reputazionale si può sinteticamente manifestare attraverso:

• la perdita di relazioni con la clientela;
• l’andamento negativo dei profitti e del valore economico della banca;
• la contrazione dei volumi di bilancio e della quota di mercato;
• il manifestarsi del rischio di liquidità;
• l’operatività corrente e nelle voci di bilancio che evidenziano la riduzione dei ricavi e l’aggravio dei costi.

I controlli interni che sono posti in essere dalla Funzione di Compliance, riguardo il rispetto della normativa interna ed esterna, hanno l’obiettivo di una sana e prudente gestione; è infatti indispensabile per una corretta connotazione strategica prevenire rischi e ipotetiche crisi.

Sembra opportuno concludere citando un prezioso contributo di Tarantola[6], secondo cui «La Compliance deve rappresentare la coscienza dell’attività dell’intermediario. Una sua corretta e incisiva applicazione assicura che tutto il personale riceva segnali forti e chiari su ciò che è considerato corretto e giusto: previene comportamenti sbagliati, aumenta la fiducia della clientela, degli investitori, del mercato».

---

[1] Basilea II (o “Basilea 2”) è la denominazione breve con cui è conosciuto il documento “International Convergence of Capital Measurement and Capital Standards” (“Nuovo Accordo sui requisiti minimi di capitale”) firmato a Basilea nel 2004. È un accordo internazionale di vigilanza prudenziale, maturato nell’ambito del Comitato di Basilea, riguardante i requisiti patrimoniali delle banche, in base al quale, le banche dei Paesi aderenti devono accantonare quote di capitale proporzionate al rischio assunto, valutato attraverso lo strumento del rating.

[2] Art. 4, comma 2, del Regolamento congiunto Banca d’Italia/Consob.

[3] “Compliance starts at the top”: è quanto emerso dal Comitato di Basilea dell’aprile 2005, lasciando intendere che gli Organi di Vertice devono agire un forte impegno riguardo alla Funzione di Compliance.

[4] I requisiti patrimoniali per le banche e le imprese d’investimento fanno parte del codice unico dell’unione bancaria e attuano l’accordo Basilea III – vale a dire le norme sull’adeguatezza patrimoniale delle banche concordate a livello internazionale – nella normativa dell’UE

[5] Organo al quale spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica.

[6] A.M. Tarantola, Intervento – Milano 4 ottobre 2007 – Workshop “Il ruolo dei sistema dei controlli nella gestione del rischio di conformità negli istituti finanziari”