Van Leeuwen Law Firm

Chiara ripartizione dei ruoli tra prima, seconda e terza linea di difesa

Una chiara ripartizione dei ruoli tra prima, seconda e terza linea di difesa costituisce il punto di partenza di una governance efficace in materia di criminalità finanziaria, poiché, in assenza di una disciplina esplicita dei ruoli, qualsiasi dispositivo di controllo diventa vulnerabile a duplicazioni, lacune esecutive e controversie sulla responsabilità nel momento in cui i rischi si materializzano. Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, la prima linea porta la responsabilità principale dell’identificazione, della valutazione e del controllo dei rischi di criminalità finanziaria nelle operazioni quotidiane. Ciò significa che l’accettazione dei clienti, le revisioni periodiche, i segnali transazionali, lo screening delle sanzioni, la progettazione dei prodotti, le scelte distributive, le eccezioni operative e il processo decisionale commerciale non possono essere considerati attività puramente tecniche o amministrative. Essi costituiscono il primo livello concreto al quale i rischi di integrità vengono assunti, limitati, accettati o oggetto di escalation. La prima linea deve quindi disporre di sufficiente consapevolezza del rischio, poteri chiari, procedure applicabili e accesso a informazioni adeguate. Senza tali condizioni, la titolarità del rischio diventa un’attribuzione formale priva di significato sostanziale.

La seconda linea svolge una funzione fondamentalmente diversa all’interno della Gestione integrata del rischio di criminalità finanziaria. Compliance, legal, risk e, ove rilevante, tax devono sviluppare il quadro normativo interno, interpretare la legislazione e la regolamentazione, tradurre l’appetito al rischio in requisiti di policy, monitorare la qualità dei controlli e sottoporre la prima linea a un challenge critico. La seconda linea non è quindi né un sostituto esecutivo della business line, né una funzione di supervisione passiva a distanza. Il suo valore aggiunto risiede nella capacità di riunire definizione degli standard, comprensione pratica e challenge indipendente. Ciò richiede sufficiente autorevolezza, sufficiente profondità sostanziale e sufficiente accesso al processo decisionale. Quando la seconda linea viene coinvolta troppo tardi, funziona esclusivamente come sportello di approvazione o non dispone di un mandato sufficiente per mettere in discussione le scelte operative, la governance in materia di criminalità finanziaria perde il proprio effetto correttivo. Viceversa, una vulnerabilità emerge anche quando la seconda linea assume compiti esecutivi e indebolisce così la propria posizione indipendente. Il confine tra supporto, definizione degli standard, challenge ed esecuzione deve pertanto essere preservato con rigore.

La terza linea ha poi il compito di valutare in modo indipendente se l’intero dispositivo di controllo della criminalità finanziaria sia solido nella sua concezione, nella sua esistenza e nella sua efficacia operativa. L’internal audit non deve limitarsi ad accertare se esistano procedure, ma deve valutare se la governance sia effettivamente in grado di identificare, sottoporre a escalation e mitigare tempestivamente i rischi rilevanti. Ciò comporta un mandato di assurance più ampio. La terza linea deve poter valutare se la prima linea adempia al proprio ruolo di titolarità, se la seconda linea operi con sufficiente efficacia nella definizione degli standard e nell’esercizio del challenge, e se il processo decisionale a livello di governance si basi in misura sufficiente su informazioni affidabili. In un quadro correttamente concepito di Gestione integrata del rischio di criminalità finanziaria, ne deriva una relazione dinamica tra le linee: la prima linea agisce e controlla, la seconda linea definisce gli standard ed esercita il challenge, e la terza linea verifica in modo indipendente e mette in luce le carenze strutturali. La forza di questo modello non risiede nella descrizione separata di tali funzioni, ma nella disciplina con cui vengono organizzati i confini, le dipendenze e le interazioni tra tali funzioni.

Chiara attribuzione della titolarità dei rischi, dei controlli e delle escalation

La chiara attribuzione della titolarità dei rischi, dei controlli e delle escalation è essenziale per evitare che il presidio della criminalità finanziaria si dissolva in una responsabilità collettiva priva di accountability concreta. Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, deve essere chiaro, per ogni rischio materiale, chi detiene il rischio, chi esegue il controllo pertinente, chi ne monitora il funzionamento, chi valuta le eccezioni, chi gestisce le escalation e chi, in ultima istanza, rende conto a livello di governance. In assenza di tale attribuzione, si crea un vuoto di governance nel quale i rischi vengono discussi ma non sono effettivamente presi in carico. Questa situazione è particolarmente problematica nei domini della criminalità finanziaria nei quali i rischi emergono lungo una catena di attività. Un rischio sanzionatorio può iniziare al momento dell’accettazione del cliente, svilupparsi attraverso le transazioni, diventare visibile nel monitoraggio, essere interpretato giuridicamente dalla funzione legal e infine richiedere una decisione di governance riguardante la cessazione del rapporto, il blocco, la segnalazione o la prosecuzione a determinate condizioni. Quando la titolarità lungo questa catena non è stata esplicitamente organizzata, emergono ritardi, incoerenze e rischi probatori.

La titolarità dei controlli richiede inoltre più della semplice designazione di un responsabile di processo. Un control owner deve essere in grado di spiegare quale rischio il controllo mitiga, perché il controllo è proporzionato, in quale punto del processo viene eseguito, quali dati o quale documentazione lo supportano, quali eccezioni sono possibili, come vengono registrate le deviazioni e quando è richiesta un’escalation. Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, tale responsabilità deve essere sufficientemente concreta da poter essere testata. Un controllo che nessuno è in grado di difendere sul piano sostanziale è vulnerabile dal punto di vista della governance, anche quando figura formalmente in una matrice. Allo stesso modo, i controlli interessati da più funzioni non sono automaticamente detenuti da più funzioni. È necessaria una documentazione esplicita della responsabilità primaria, della responsabilità di supporto e della verifica indipendente. Solo in questo modo può essere evitato che le funzioni si rinviino reciprocamente la responsabilità quando emergono carenze, o che i rilievi restino irrisolti perché nessuno si sente titolare della remediation.

La titolarità dell’escalation merita un’attenzione distinta, poiché i rischi di criminalità finanziaria diventano spesso realmente rilevanti a livello di governance solo quando segnali operativi, interpretazione giuridica e appetito al rischio convergono. Uno schema transazionale insolito, una struttura proprietaria complessa, un potenziale collegamento con sanzioni o un incidente di integrità non richiedono sempre lo stesso percorso. Alcuni segnali possono essere trattati nell’ambito dei quadri operativi esistenti. Altri richiedono il challenge della seconda linea, una valutazione giuridica, un’analisi fiscale, una decisione del senior management o il coinvolgimento del consiglio di amministrazione e degli amministratori non esecutivi o dell’organo di controllo. La governance deve quindi stabilire in anticipo quando l’escalation è obbligatoria, chi la avvia, quali informazioni devono essere almeno disponibili, entro quale termine deve essere assunta la decisione e come tale decisione deve essere documentata. Nella Gestione integrata del rischio di criminalità finanziaria, l’escalation non è il segno di un fallimento operativo, ma una valvola di sicurezza indispensabile della governance. Senza una chiara attribuzione della titolarità dell’escalation, quest’ultima diventa eccessivamente dipendente dalla vigilanza individuale, da relazioni informali o da un’avversione al rischio manifestata a posteriori.

Prevenzione di sovrapposizioni, lacune e trasferimenti di responsabilità tra le linee

La prevenzione di sovrapposizioni, lacune e trasferimenti di responsabilità tra le linee di difesa si colloca al centro di una governance forte in materia di criminalità finanziaria. A prima vista, la sovrapposizione può sembrare meno problematica di una lacuna, poiché più funzioni si occupano dello stesso tema. Nella pratica, tuttavia, la sovrapposizione può provocare ritardi, istruzioni contraddittorie, accountability indebolita e un’immagine confusa di chi decida effettivamente. Quando business line, compliance, risk, legal e audit conducono ciascuna le proprie valutazioni senza una chiara delimitazione, lo stesso tema di criminalità finanziaria può essere analizzato più volte senza essere risolto. La Gestione integrata del rischio di criminalità finanziaria richiede quindi che il coinvolgimento parallelo di più funzioni sia organizzato solo quando risponde a una finalità chiara. L’intervento parallelo deve contribuire a un miglior processo decisionale, a un challenge più incisivo o a un’assurance più forte, non a una ripetizione istituzionale.

Le lacune sono altrettanto dannose, ma spesso meno visibili. Esse emergono quando ciascuna linea presume che un’altra linea sia responsabile, oppure quando la policy interna non è stata tradotta in passaggi operativi eseguibili. Una lacuna può esistere nei dati cliente, nella logica di monitoraggio, nella gestione delle eccezioni relative alle sanzioni, nella documentazione dell’accettazione del rischio, nel follow-up dei rilievi di audit o nel reporting di governance. Il pericolo di tali lacune risiede nel fatto che esse diventano visibili solo in occasione di un incidente, di una richiesta dell’autorità di vigilanza o di una revisione di audit. A quel punto, l’organizzazione deve non solo affrontare il rischio sottostante, ma anche spiegare perché il processo di governance non abbia identificato prima la carenza. La Gestione integrata del rischio di criminalità finanziaria deve pertanto prevedere un’identificazione sistematica dei punti ciechi tra le linee. Ciò presuppone revisioni periodiche dei ruoli, valutazioni end-to-end dei processi, una chiara mappatura dei controlli e una cultura nella quale l’incertezza sulla titolarità non sia tollerata.

Il trasferimento di responsabilità costituisce la vulnerabilità di governance più fondamentale, perché compromette l’integrità dell’intero modello. Il modello delle tre linee è volto a organizzare le responsabilità, non a diluirle. Quando la prima linea rinvia alla compliance, la compliance rinvia alla business line, il legal richiama i limiti interpretativi e l’audit identifica problemi a posteriori senza che la remediation sia presa in carico, emerge un quadro difensivo nel quale i rischi di criminalità finanziaria circolano all’interno dell’organizzazione senza essere trattati efficacemente. Una governance forte interrompe questo schema rendendo esplicita l’accountability. Le decisioni devono essere tracciabili fino alle funzioni e alle persone dotate dell’autorità appropriata. I rilievi devono avere un titolare, una scadenza e un percorso di remediation. Le accettazioni del rischio devono essere motivate sul piano sostanziale e assunte a livello di governance. Nella Gestione integrata del rischio di criminalità finanziaria, la prevenzione del trasferimento di responsabilità non è quindi un tema comportamentale accessorio, ma una condizione strutturale di un presidio efficace.

Rafforzamento della cooperazione tra business line, compliance, legal, tax e audit

La cooperazione tra business line, compliance, legal, tax e audit determina in larga misura se la Gestione integrata del rischio di criminalità finanziaria formi, nella pratica, un quadro coerente o soltanto una giustapposizione di prospettive specialistiche. I rischi di criminalità finanziaria possono raramente essere compresi pienamente a partire da una sola disciplina. La business line vede il comportamento dei clienti, il contesto commerciale, le frizioni operative e la fattibilità. La compliance vede l’applicazione normativa, le aspettative delle autorità di vigilanza e la qualità dei controlli. Il legal vede le basi giuridiche, i poteri, le limitazioni contrattuali, gli obblighi di segnalazione e i rischi di responsabilità. Il tax vede i rischi di integrità fiscale, le questioni di strutturazione, gli obblighi di trasparenza e i possibili collegamenti con elusione, frode o pianificazione aggressiva. L’audit vede la testabilità, gli elementi probatori e le carenze strutturali nella concezione e nell’efficacia operativa. Quando queste prospettive funzionano separatamente, emerge una visione frammentata del rischio. Quando sono correttamente collegate, diventa possibile un giudizio più ricco e più rilevante per la governance.

La cooperazione non deve tuttavia essere confusa con la diluizione dei ruoli. Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, ogni funzione deve preservare il proprio standard professionale. La business line non deve attendersi che la compliance assuma la responsabilità operativa. La compliance non deve partecipare al processo decisionale in modo tale da indebolire la propria funzione di challenge. Il legal deve spiegare chiaramente i limiti giuridici senza ridurre la più ampia questione di governance alla sola fattibilità giuridica. Il tax deve collegare i segnali di rischio fiscale a un’interpretazione di integrità senza ragionare esclusivamente da una prospettiva tecnico-fiscale. L’audit deve rimanere indipendente, pur disponendo di una comprensione sufficiente del funzionamento effettivo dei processi per fornire un’assurance pertinente. La cooperazione deve quindi essere organizzata mediante strutture di consultazione fisse, un linguaggio comune del rischio, chiari mandati decisionali e requisiti documentali coerenti. Non è determinante la frequenza delle riunioni; ciò che conta è la qualità dell’interpretazione comune e del follow-up.

In un quadro di governance correttamente operativo, la cooperazione multidisciplinare diventa particolarmente visibile nei dossier complessi o transfrontalieri di criminalità finanziaria. Può trattarsi di clienti con strutture internazionali, transazioni che presentano un potenziale rischio sanzionatorio, segnali di corruzione, questioni di integrità fiscale, rapporti di correspondent banking, rischi legati a terze parti o incidenti con implicazioni di segnalazione. Tali dossier richiedono un coordinamento rapido e prudente, ma anche un processo decisionale netto. La Gestione integrata del rischio di criminalità finanziaria deve quindi prevedere meccanismi che consentano di riunire tempestivamente i contributi specialistici e di tradurli in una decisione concreta: proseguire, limitare, condurre un’indagine rafforzata, segnalare, bloccare, porre fine al rapporto o procedere a escalation. Il valore della cooperazione non risiede, in ultima analisi, nel consenso in quanto tale, ma nella qualità del giudizio motivato. Una governance forte consente a funzioni diverse di esercitare challenge reciproco, completarsi e rafforzarsi senza che il processo decisionale venga ritardato o che la responsabilità diventi indistinta.

Progettazione della governance intorno al processo decisionale, alla trasparenza e all’accountability

La governance nell’ambito della Gestione integrata del rischio di criminalità finanziaria deve essere concepita principalmente intorno al processo decisionale, alla trasparenza e all’accountability. Ciò significa che l’efficacia del quadro di governance non si valuta esclusivamente con riferimento a comitati formali, linee di reporting o documenti di policy, ma chiedendosi se le decisioni rilevanti in materia di criminalità finanziaria siano assunte tempestivamente, in modo sufficientemente informato, coerente e difendibile. Il processo decisionale è il punto in cui convergono appetito al rischio, regolamentazione, realtà operativa e interessi commerciali. Quando tale processo decisionale è opaco, il controllo si sposta verso schemi informali: i collaboratori cercano certezze presso contatti abituali, i dossier sensibili vengono rinviati, le eccezioni sono documentate in modo insufficiente e l’escalation avviene sulla base di un giudizio personale anziché di criteri di governance. Un quadro solido previene tale deriva definendo esplicitamente i punti decisionali.

La trasparenza è indispensabile a tale riguardo. Il consiglio di amministrazione, il senior management, le funzioni di controllo e l’audit devono poter vedere quali rischi di criminalità finanziaria esistono, quali decisioni sono state assunte, quali eccezioni sono state autorizzate, quali rilievi restano aperti e quali tendenze indicano un deterioramento o un miglioramento. La trasparenza non significa che ogni dettaglio operativo debba essere portato al livello del consiglio di amministrazione. Significa che l’informazione è organizzata in modo tale che ogni livello disponga delle informazioni necessarie per assumere la propria responsabilità. Per la prima linea, ciò significa visibilità sui rischi relativi a clienti, transazioni e processi. Per la seconda linea, significa visibilità sul rispetto delle policy, sul funzionamento dei controlli, sugli incidenti, sulle eccezioni e sui temi che richiedono challenge. Per la terza linea, significa accesso a elementi probatori affidabili e a piste decisionali. Per il consiglio di amministrazione e per gli amministratori non esecutivi o l’organo di controllo, significa visibilità sui rischi materiali, sulle carenze strutturali, sulle accettazioni del rischio, sugli sviluppi prudenziali e sulle scelte strategiche. La Gestione integrata del rischio di criminalità finanziaria richiede quindi che l’informazione non sia soltanto raccolta, ma tradotta in comprensione rilevante per la governance.

L’accountability costituisce infine l’elemento conclusivo di una governance forte. Senza accountability, la trasparenza può persino diventare controproducente: i rischi sono visibili, ma non sono necessariamente presi in carico. L’accountability richiede che sia chiaro chi è responsabile delle decisioni, chi è responsabile dell’esecuzione, chi è responsabile del monitoraggio, chi è responsabile della remediation e chi rende conto del risultato a livello di governance. Nel presidio della criminalità finanziaria, questo aspetto assume particolare importanza, poiché le decisioni sono spesso valutate retrospettivamente dalle autorità di vigilanza, dagli auditor, dalle autorità di enforcement, dalle controparti o dagli stakeholder pubblici. Un’organizzazione deve allora poter dimostrare che una decisione non è stata arbitraria, difensiva o puramente commerciale, ma che si è fondata su un processo accurato, informazioni adeguate, challenge appropriato e una valutazione esplicita del rischio. Nella Gestione integrata del rischio di criminalità finanziaria, l’accountability non è quindi soltanto una norma interna di management, ma anche una condizione esterna di difendibilità. Una governance che pone al centro il processo decisionale, la trasparenza e l’accountability rende visibile chi sapeva cosa, quando l’informazione era nota, quale valutazione è stata effettuata e perché la linea d’azione prescelta era proporzionata e difendibile.

Definire chiaramente i percorsi di escalation e decisionali per le situazioni ordinarie e di crisi

I percorsi di escalation e decisionali costituiscono, nell’ambito della Gestione integrata del rischio di criminalità finanziaria, un meccanismo essenziale per garantire che segnali, incidenti, eccezioni e rischi materiali siano valutati al livello appropriato. Un dispositivo di criminalità finanziaria può comprendere policy dettagliate, un monitoring avanzato e descrizioni estese dei controlli, ma, in assenza di percorsi di escalation chiaramente definiti, rimane incerto quando un rilievo operativo debba essere elevato a questione di compliance, quando sia necessaria un’interpretazione giuridica, quando debba essere coinvolta l’expertise fiscale, quando il senior management debba decidere e quando il consiglio di amministrazione o gli amministratori non esecutivi o i membri dell’organo di controllo debbano essere messi in condizione di intervenire. Nella pratica, tale mancanza di chiarezza conduce a ritardi, incoerenze e a un processo decisionale difensivo. I segnali restano allora troppo a lungo nell’operatività, vengono astratti giuridicamente troppo presto, oppure diventano visibili a livello di governance solo quando lo spazio per la remediation si è già ristretto. Una governance forte previene tale situazione determinando in anticipo quali tipologie di questioni di criminalità finanziaria possano essere trattate nelle linee di processo ordinarie e quali segnali richiedano una escalation formale.

Per le situazioni ordinarie, l’escalation non deve essere resa inutilmente gravosa, ma deve essere progettata con sufficiente precisione. Non ogni deviazione, alert o ambiguità relativa a un cliente richiede attenzione a livello del consiglio di amministrazione. Allo stesso tempo, una serie di segnali apparentemente minori può, nel suo insieme, indicare un rischio materiale di integrità. La Gestione integrata del rischio di criminalità finanziaria richiede pertanto che i criteri di escalation non siano fondati soltanto su categorie di incidenti, ma anche sulla componente di rischio, sulla ricorrenza, sul profilo del cliente, sull’esposizione geografica, sul collegamento con sanzioni, sul valore transazionale, sui terzi coinvolti, sulla sensibilità reputazionale e sulla potenziale rilevanza per l’autorità di vigilanza. Un team operativo deve poter determinare quando un dossier rimane nel processo standard, quando è richiesto il challenge della seconda linea, quando è necessaria una valutazione legal o tax e quando diventa necessaria una decisione formale accompagnata da un’accettazione documentata del rischio. Ciò presuppone alberi decisionali chiari, ma anche uno spazio per il giudizio professionale. Un modello di escalation solido non è meccanico; è normativo, basato sul rischio e dimostrabilmente collegato all’appetito al rischio dell’organizzazione.

Per le situazioni di crisi, la governance deve essere ancora più precisa, perché gli incidenti di criminalità finanziaria sottoposti alla pressione del tempo toccano spesso più dimensioni contemporaneamente. Un possibile hit relativo a sanzioni, un incidente di frode su larga scala, un sospetto di corruzione, una scoperta data-driven di un fallimento sistematico dei controlli, una richiesta dell’autorità di vigilanza o un dossier urgente sensibile sotto il profilo mediatico richiedono un’organizzazione immediata dei ruoli, dei poteri e del processo decisionale. In tali circostanze non deve essere necessario stabilire prima chi guidi il confronto di crisi, quali informazioni siano affidabili, quali obblighi di segnalazione possano applicarsi, quali restrizioni relative ai clienti o alle transazioni siano necessarie e chi comunichi all’esterno. La Gestione integrata del rischio di criminalità finanziaria richiede quindi percorsi di crisi predefiniti, comprensivi di mandato decisionale, considerazioni relative al segreto professionale e al legal privilege, requisiti documentali, linee di comunicazione, coinvolgimento del consiglio di amministrazione e degli amministratori non esecutivi o dei membri dell’organo di controllo, nonché allineamento con i più ampi processi di incident response e business continuity. La qualità della governance di crisi si misura nella capacità di far coesistere rapidità e rigore. Un percorso di escalation e decisionale chiaramente concepito consente di agire rapidamente senza perdere la difendibilità giuridica, operativa e di governance del processo decisionale.

Supervisionare l’applicazione coerente delle policy e dell’appetito al rischio

L’applicazione coerente delle policy e dell’appetito al rischio costituisce un requisito centrale nell’ambito della Gestione integrata del rischio di criminalità finanziaria, poiché il presidio della criminalità finanziaria perde la propria autorevolezza quando situazioni comparabili vengono trattate in modo diverso senza una ragione spiegabile. I documenti di policy e le dichiarazioni di appetito al rischio assumono significato solo quando si traducono in modo visibile nell’accettazione dei clienti, nelle revisioni periodiche, nel monitoraggio delle transazioni, nello screening delle sanzioni, nel follow-up degli incidenti, nella governance dei prodotti, nella gestione dei terzi e nel processo decisionale a livello di governance. In molte organizzazioni esiste una distanza considerevole tra l’appetito al rischio formale e l’effettiva esecuzione quotidiana. Un consiglio di amministrazione può formulare sulla carta una bassa tolleranza al rischio sanzionatorio, mentre i processi operativi consentono eccezioni senza sufficiente giustificazione. Un’organizzazione può dichiarare tolleranza zero verso i rischi di corruzione, mentre la pressione commerciale conduce a una valutazione insufficientemente critica degli intermediari o delle strutture di pagamento complesse. La governance deve ridurre attivamente tale distanza.

La coerenza non significa che ogni dossier debba essere trattato in modo identico. La Gestione integrata del rischio di criminalità finanziaria richiede un’applicazione basata sul rischio, e un’applicazione basata sul rischio presuppone differenziazione. Un cliente a basso rischio, un gruppo internazionale complesso, una persona politicamente esposta, una relazione di correspondent banking, una struttura fiduciaria e un cliente con esposizione accresciuta alle sanzioni non richiedono la stessa profondità, la stessa intensità né lo stesso percorso decisionale. Coerenza significa che le differenze di trattamento possono essere ricondotte a fattori di rischio pertinenti, a criteri espliciti di policy e a valutazioni difendibili. Il quadro di governance deve quindi prevedere meccanismi attraverso i quali gli scostamenti dalla policy standard siano registrati, le eccezioni siano motivate, le accettazioni del rischio siano approvate al livello appropriato e l’applicazione pratica delle policy sia periodicamente testata rispetto all’appetito al rischio stabilito. In assenza di tali meccanismi emerge arbitrarietà, e l’arbitrarietà nel presidio della criminalità finanziaria è vulnerabile sotto il profilo della governance, della vigilanza e della reputazione.

La supervisione dell’applicazione coerente richiede una combinazione di first line ownership, monitoring da parte della seconda linea e assurance da parte della terza linea. La prima linea deve disporre di istruzioni chiare, formazione, supporto sistemico e informazioni di gestione per applicare correttamente le policy nella quotidianità. La seconda linea deve poter identificare trend, sottoporre a challenge gli scostamenti, risolvere divergenze interpretative e riferire periodicamente sulla misura in cui l’esecuzione si allinea all’appetito al rischio. La terza linea deve poter valutare in modo indipendente se la governance relativa all’applicazione delle policy sia sufficientemente robusta e se le informazioni di gestione forniscano un’immagine affidabile del funzionamento effettivo. La Gestione integrata del rischio di criminalità finanziaria riunisce queste funzioni in un quadro nel quale la policy non è trattata come un documento normativo statico, ma come uno strumento di governance che deve essere continuamente testato rispetto all’esecuzione, all’evoluzione del rischio e alle aspettative dell’autorità di vigilanza. L’applicazione coerente richiede quindi disciplina nella progettazione, nell’esecuzione, nel monitoring, nella correzione e nell’accountability.

Radicare i temi di criminalità finanziaria a livello del consiglio di amministrazione e dell’organo di controllo

Il radicamento dei temi di criminalità finanziaria a livello del consiglio di amministrazione e dell’organo di controllo è necessario, poiché il presidio della criminalità finanziaria non può essere ridotto a una funzione operativa o specialistica di compliance. I rischi toccano questioni fondamentali di strategia, accettazione dei clienti, accesso ai mercati, scelte di prodotto, crescita internazionale, reputazione, allocazione del capitale, investimenti tecnologici e legittimità pubblica. Quando il consiglio di amministrazione e gli amministratori non esecutivi o i membri dell’organo di controllo affrontano la criminalità finanziaria esclusivamente come un dossier esecutivo, scelte materiali possono rimanere implicite. L’organizzazione può allora proseguire attività che non corrispondono più al proprio appetito al rischio, investire in controlli senza una chiara prioritarizzazione, oppure collegare in modo insufficiente i segnali provenienti da compliance, audit e vigilanza a decisioni strategiche più ampie. La Gestione integrata del rischio di criminalità finanziaria richiede pertanto che il consiglio di amministrazione e l’organo di controllo non siano soltanto informati su incidenti e rilievi, ma siano strutturalmente messi in condizione di fornire indirizzo in materia di appetito al rischio, priorità, remediation, investimenti e accountability.

Il coinvolgimento del consiglio di amministrazione deve essere sostanziale e non deve limitarsi a report periodici accompagnati da indicatori generici. I report di criminalità finanziaria destinati al consiglio di amministrazione e all’organo di controllo devono fornire visibilità sui rischi materiali, sull’evoluzione dei panorami di minaccia, sulla qualità dei controlli, sulle carenze aperte, sulle escalation, sugli incidenti, sui segnali dell’autorità di vigilanza, sugli scostamenti dalle policy, sui segmenti di clientela con esposizione accresciuta, sull’efficacia dei programmi di remediation e sui dilemmi strategici. La questione non è disporre di più informazioni, ma di migliori informazioni di governance. Un consiglio di amministrazione deve poter valutare se l’organizzazione vede i rischi corretti, se l’appetito al rischio viene effettivamente applicato, se la prima linea dimostra sufficiente ownership, se la seconda linea dispone di sufficiente autorità, se i rilievi di audit sono oggetto di follow-up strutturale e se gli investimenti in sistemi, persone e dati sono proporzionati. L’organo di controllo deve, a sua volta, poter supervisionare la qualità dell’intero quadro, porre domande critiche e valutare se le decisioni di governance siano assunte con sufficiente rigore e difendibilità.

La Gestione integrata del rischio di criminalità finanziaria richiede inoltre connessioni di governance chiare tra il livello del consiglio di amministrazione, il livello dell’organo di controllo e le linee di difesa sottostanti. Ciò significa che le escalation verso il consiglio di amministrazione e l’organo di controllo non devono dipendere da sensibilità informali o preferenze personali. Il quadro di governance deve determinare quali temi di criminalità finanziaria siano inseriti strutturalmente all’ordine del giorno, quali incidenti richiedano attenzione immediata, quali accettazioni del rischio richiedano approvazione a livello del consiglio di amministrazione, quali report siano discussi nel risk committee, nell’audit committee o nel consiglio in composizione plenaria, e come venga monitorato il follow-up delle decisioni. È inoltre importante che il consiglio di amministrazione e l’organo di controllo sviluppino una conoscenza sostanziale sufficiente per valutare i temi di criminalità finanziaria non solo in termini procedurali, ma anche materiali. Il radicamento dei temi di criminalità finanziaria a livello del consiglio di amministrazione e dell’organo di controllo conferisce alla Gestione integrata del rischio di criminalità finanziaria autorevolezza, direzione e continuità. Senza tale radicamento, il presidio rimane eccessivamente dipendente dalla capacità operativa e dalla forza persuasiva degli specialisti.

Migliorare lo scambio di informazioni su rischi, incidenti e rilievi

Uno scambio efficace di informazioni su rischi, incidenti e rilievi costituisce una condizione preliminare per una governance forte, poiché i rischi di criminalità finanziaria si manifestano spesso in forma dispersa attraverso processi, sistemi, giurisdizioni e funzioni differenti. Un dossier cliente può contenere segnali che appaiono operativamente spiegabili per la business line, normativamente rilevanti per la compliance, giuridicamente significativi per il legal, indicativi di una questione di integrità fiscale per il tax e rivelatori di una debolezza strutturale di controllo per l’audit. Quando tali informazioni rimangono frammentate, non emerge alcuna immagine completa del rischio. La Gestione integrata del rischio di criminalità finanziaria richiede quindi che le informazioni non siano soltanto condivise verticalmente all’interno di funzioni distinte, ma siano anche collegate orizzontalmente e a livello di governance. La qualità della governance dipende in larga misura dalla rapidità, completezza e utilità con cui le informazioni rilevanti circolano tra la prima linea, la seconda linea, la terza linea e gli organi decisionali.

Lo scambio di informazioni deve essere progettato con cura. Troppo poche informazioni creano punti ciechi; troppe informazioni non filtrate creano rumore, sovraccarico e un’apparenza di trasparenza. La Gestione integrata del rischio di criminalità finanziaria richiede quindi criteri chiari su quali informazioni debbano essere condivise, in quale momento, con quale funzione, in quale formato e per quale decisione o follow-up previsto. Le notifiche di incidenti devono essere sufficientemente fattuali per consentire il follow-up. I report di rischio devono rendere visibili i trend e la materialità. I rilievi di audit devono essere collegati ai control owner, alle tempistiche di remediation e alle cause strutturali. Il monitoring di compliance non deve limitarsi a registrare osservazioni, ma deve anche interpretare quali adeguamenti di policy o di processo siano necessari. Le analisi legal e tax devono essere tradotte in modo da essere utili sul piano operativo e di governance senza perdere precisione sostanziale. Un buon scambio di informazioni richiede pertanto una tassonomia comune, definizioni coerenti, dati affidabili, una chiara attribuzione dell’ownership e ritmi di reporting fissi.

Un particolare punto di attenzione riguarda il feedback dei rilievi verso il miglioramento dei processi. In molti ambienti di criminalità finanziaria, incidenti, alert, rilievi di audit e questioni di compliance vengono registrati, ma non sono utilizzati in modo sufficientemente sistematico per migliorare il quadro dei controlli. Di conseguenza, l’informazione resta reattiva e specifica del singolo dossier. La Gestione integrata del rischio di criminalità finanziaria richiede un ciclo di apprendimento nel quale i segnali provenienti da esecuzione, monitoring, gestione degli incidenti, vigilanza e audit siano riuniti e tradotti in adeguamenti delle policy, dei controlli, della formazione, della logica dei sistemi, della qualità dei dati o della governance. Questo feedback rende lo scambio di informazioni qualcosa di più del semplice reporting. Trasforma l’informazione in informazione di indirizzo per la governance. Un quadro di governance forte garantisce che le informazioni rilevanti non siano soltanto disponibili, ma conducano anche a decisioni, prioritarizzazione e follow-up dimostrabile.

La governance come strato di collegamento della gestione integrata dell’integrità

Nell’ambito della Gestione integrata del rischio di criminalità finanziaria, la governance funziona come lo strato di collegamento che riunisce gli elementi distinti della gestione dell’integrità in un quadro coerente e operativo. Senza governance, analisi dei rischi, policy, controlli, monitoring, gestione degli incidenti, audit, reporting e interazione con l’autorità di vigilanza rimangono componenti separate, ciascuna con i propri ritmi e le proprie logiche. Con una governance forte, queste componenti sono collegate attraverso ownership, processo decisionale, escalation, scambio di informazioni e accountability. Questo aspetto è particolarmente importante nel dominio della criminalità finanziaria, perché i rischi non rispettano i confini organizzativi interni. Una questione relativa a sanzioni può incidere simultaneamente sull’accettazione dei clienti, sui flussi di pagamento, sull’interpretazione giuridica, sui dati, sulla tecnologia, sulla formazione, sulla gestione dei terzi e sul processo decisionale a livello del consiglio di amministrazione. Un incidente di integrità può attivare nello stesso momento compliance, legal, tax, audit, comunicazione e senior management. La governance determina se tali temi siano trattati in modo frammentato o gestiti come un rischio coerente.

In quanto strato di collegamento, la governance deve offrire al tempo stesso stabilità e capacità di adattamento. La stabilità è necessaria per chiarire chi sia responsabile di che cosa, come siano assunte le decisioni, quali percorsi di escalation si applichino e come venga esercitata l’accountability. La capacità di adattamento è necessaria perché i rischi di criminalità finanziaria, la regolamentazione, le aspettative dell’autorità di vigilanza, la tecnologia e le tipologie criminali evolvono continuamente. La Gestione integrata del rischio di criminalità finanziaria richiede quindi un quadro di governance che non sia solo chiaro sulla carta, ma anche periodicamente testato rispetto al funzionamento effettivo. Nuovi rischi, segmenti di clientela in evoluzione, espansione internazionale, automazione, rilevazione data-driven, esternalizzazione e nuove regolamentazioni possono mettere sotto pressione le relazioni di governance esistenti. Un quadro un tempo sufficientemente chiaro può, con il passare del tempo, produrre comunque lacune, ritardi o incoerenze. La governance deve quindi essere mantenuta come uno strumento attivo di governo, e non come un esercizio progettuale una tantum.

La funzione di collegamento della governance si esprime, in ultima analisi, nella qualità del giudizio all’interno dell’organizzazione. La Gestione integrata del rischio di criminalità finanziaria non consiste soltanto nel rispettare regole o nell’eseguire controlli, ma nella capacità di valutare rischi complessi di integrità con rigore, tempestività e difendibilità. Una governance forte garantisce che le prospettive rilevanti si incontrino, che le informazioni siano affidabili, che le decisioni siano assunte al livello appropriato, che gli scostamenti siano documentati, che la remediation sia monitorata e che il consiglio di amministrazione e l’organo di controllo mantengano visibilità sui temi materiali. Ne deriva un quadro di controllo nel quale le linee di difesa non operano fianco a fianco come muri difensivi separati, ma contribuiscono in modo integrato a un unico meccanismo di controllo di governance. La governance è quindi lo strato che rende governabile la Gestione integrata del rischio di criminalità finanziaria, la mantiene testabile e dà direzione a una gestione sostenibile dell’integrità.