La funzione di compliance: esigenze organizzative, responsabilità e coordinamento con le funzioni aziendali. CeTIF

Transcript

1 La funzione di compliance: esigenze organizzative, responsabilità e coordinamento con le funzioni aziendali CeTIF 23 settembre 2009

2 Agenda 2 Organizzazione della funzione in Poste Vita Il processo di compliance e Revisione Interna

3 POSTE VITA 3 Poste Vita è nata nel 1997 ed è operativa dal Nel 2006 ha esteso l attività anche ai rami Infortuni e Malattia. Le nostre polizze sono collocate tramite gli Uffici Postali: una rete di circa uffici su tutto il territorio italiano.

4 4 A wise monk once said that people prefer managed complexity to unmanaged simplicity Anonimo = Complessità

5 Alcune riflessioni 5 Il regolatore si attende che le compagnie gestiscano la complessità attraverso la crescente ed importante diffusione di attività di compliance utili al presidio dei rischi trasversalmente alle diverse strutture organizzative, siano esse funzioni aziendali, società o uffici / reti di distribuzione,... assume particolare rilievo la costituzione all interno delle banche e dei gruppi bancari di una specifica funzione dedicata al presidio e al controllo della conformità... Disposizioni di Vigilanza Banca d Italia... gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme... Regolamento Congiunto Banca d Italia e CONSOB... le imprese istituiscono una funzione di... Regolamento ISVAP

6 Alcune riflessioni 6 I fondamentali del rispetto della conformità normativa sono e rimangono la consapevolezza da parte del vertice aziendale e delle diverse funzioni circa la necessità di operare in conformità alle norme e la propria responsabilità e impegno in tal senso. Necessità di migliorare direttive e procedure per aumentare l efficacia dei presidi alla conformità

7 Alcune riflessioni 7 Opportunità di introdurre un processo di rispetto delle norme trasversalmente l organizzazione che permetta: valutazioni di rischio a livello aziendale per l identificazione degli eventi/situazioni da cui possono derivare sanzioni, perdite e danni significativi o costituire problematiche sistematiche di conformità compliance program svolti in via continuativa per le diverse attività aziendali opportuni flussi informativi verso gli organi sociali e le funzioni aziendali

8 Alcune riflessioni 8 Nuova necessità di chiarire nel continuo ruolo e rapporti con: management aziendale management delle reti distributive personale che già si occupa di conformità normativa in azienda risk management e revisione interna

9 : la scelta organizzativa aziendale 9 A dicembre 2008 è stata istituita la Funzione di Poste Vita. La scelta organizzativa è stata quella di collocare la funzione di in staff all Amministratore Delegato, per meglio rispondere ai requisiti di autonomia ed indipendenza richiesti dalla normativa. Amministratore Delegato Maria Bianca Farina Organi di controllo Internal Auditing Chief Risk Office Affari Legali Societari e Normativa Risorse Umane e Servizi Generali Organismo di Vigilanza, ex D.lgs 231/2001 Collegio Sindacale Attuario incaricato Società di Revisione

10 Policy 10 Obiettivo: fornire una direttiva aziendale in materia di prevenzione del rischio r di non conformità alle norme. La Policy, presentata al Consiglio di Amministrazione, si propone di: Fissare i principi e le responsabilità aziendali in materia; Attribuire le Responsabilità sulla base di quanto definito nel Regolamento Isvap n. 20; Definire i compiti e le modalità operative della funzione di ; Definire la natura e la frequenza delle interrelazioni con gli organi societari e le altre funzioni interessate; Definire la natura e la frequenza delle interrelazioni con le funzioni e gli organi di controllo; Definire il perimetro normativo di riferimento individuando gli ambiti di intervento.

11 Policy: contenuto 11 Destinatari La si basa su un efficace sistema di controllo interno tale da garantire l adeguatezza di tutti i controlli effettuati La responsabilità dei controlli è del management ma anche di tutto il personale della Compagnia Gli obiettivi dei controlli possono essere raggiunti soltanto con il rispetto di leggi, regolamenti, direttive, normativa di vigilanza e regolamentazione interna; Per quanto detto in precedenza, sono identificati come destinatari della Policy: Organo amministrativo Dipendenti della compagnia e tutti coloro che, stabilmente o temporaneamente, operano per suo conto

12 Policy: contenuto 12 I principi su cui si basa la Policy sono i seguenti: La Compagnia persegue integrità morale e buona reputazione Il management aziendale opera seguendo le migliori pratiche di condotta Il personale aziendale ha la responsabilità della conformità alle norme La Compagnia rispetta la Policy Il rischio di non conformità alle norme deve essere adeguatamente presidiato

13 Policy: contenuto 13 Perimetro normativo Nella Policy è stato scelto di definire l ambito normativo di riferimento delle attività della funzione in relazione alle norme di legge, la regolamentazione secondaria e l autoregolamentazione che disciplinano il mercato e l attività assicurativa. Tale scelta è stata preferita all elenco delle norme di riferimento perché la definizione degli ambiti consente di ricomprendere, indirettamente e con maggiore garanzia di completezza, tutte le norme sulle quali la Funzione è chiamata a vigilare. In conformità all art. 22 del Regolamento gli ambiti normativi definiti come prioritari sono: Trasparenza e correttezza dei comportamenti nei confronti dei clienti; Organizzazione e comportamenti dei dipendenti; Vigilanza prudenziale; Illeciti economico finanziari.

14 Policy: contenuto 14 Relazioni con gli organi di controllo e di Vigilanza Collegio Sindacale La Funzione di informa il Collegio Sindacale annualmente, o più frequentemente se richiesto, dell attività svolta e dei risultati. Organismo di Vigilanza 231 La Funzione di informa in merito al piano annuale di conformità nel corso delle riunioni della segreteria tecnica dell Organismo di Vigilanza 231, dell attività svolta e dei risultati della stessa. Inoltre fornisce un supporto nell implementazione e nella modifica del Modello Organizzativo 231. Dirigente Preposto (per la redazione dei documenti contabili e societari) La Funzione di informa in merito al piano annuale di conformità.

15 Policy: contenuto 15 Collegamento con le funzioni di revisione interna e di risk management Relazioni della funzione di compliance con la funzione di revisione interna Incontro annuale per il coordinamento sul piano delle attività La funzione di compliance: relaziona periodicamente sulle attività pianificate e sulle attività svolte, informa su eventi di mancata conformità e comunica ogni informazione ritenuta utile. La funzione di revisione interna: relaziona periodicamente sulle attività pianificate e sulle attività svolte, invia report periodici sullo stato dei reclami, può svolgere attività di verifica in teme di conformità ed esegue attività di audit sull operato della funzione di compliance. Relazioni della funzione di compliance con la funzione di risk management La funzione di compliance: presenta annualmente il piano di conformità, segnala periodicamente aggiornamenti alla matrice aziendale e fornisce consulenza per le materie di propria competenza. La funzione di risk management: fornisce consulenza sulla metodologia di valutazione del rischio di non conformità nonché sulle metodologie di quantificazione dei danni reputazionali.

16 Policy: contenuto 16 Collegamento con altre funzioni aziendali Collaborazione continua con la funzione legale e la funzione organizzazione e responsabilità delle funzioni di definire tra loro i rispettivi ruoli nel processo compliance Supporto e collaborazione con tutti i responsabili delle funzioni aziendali che contribuiscono a fornire informazioni per le materie di competenza La funzione compliance informa le funzioni aziendali in merito agli impatti organizzativi di nuove norme e regolamenti In caso la funzione compliance operi tramite risorse appartenenti ad altre funzioni aziendali si occupa di definire e coordinare i compiti di tali risorse sulla base di principi definiti

17 Policy: il piano di comunicazione 17 Poste Vita ha definito un Piano di Comunicazione interna con i seguenti obiettivi: Fornire un informativa sulla Policy a tutto il personale; Sensibilizzare tutto il personale al tema della ; Diffondere la cultura del controllo in azienda; Modalità di erogazione Pubblicazione della Policy nella intranet aziendale Organizzazione di sessioni formative con tutti i Responsabili di funzione ed i primi riporti Invio di una comunicazione a tutto il personale in relazione alla Policy ed ai principi in essa contenuti

18 Il processo di compliance 18 Obiettivi di processo 1. Monitora il business aziendale affinché vengano adottati presidi volti a prevenire il rischio di non conformità alle norme (compliance risk assessment) 2. Identifica in via continuative le norme applicabili all impresa e il loro impatto sui processi di business (regulatory returns) 3. Valuta adeguatezza ed efficacia delle misure organizzative adottate (loss & reputational protection) 4. Predispone adeguati flussi informativi 5. Cura, per le materie di propria competenza, i rapporti con le Autorità di vigilanza

19 Il processo di compliance 19 Processo di Il processo di Poste Vita è stato articolato in: Sottoprocessi Procedure Gestione dell evoluzione normativa 1. Ricognizione normativa 2. Valutazione dei rischi 3. Adozione di miglioramenti 4. Emissione di rapporti periodici e consuntivi 5. Flussi informativi e formazione del personale Gestione dello scadenzario normativo Piano di (Risk Assessment) Piano di (Control Test) Monitoraggio del Presidi Aziendali Analisi dei requisiti normativi Predisposizione ed aggiornamento Program Redazione Relazione annuale Linee Guida

20 Il processo di compliance 20 Input del processo Pubblicazioni e pareri legali sulla normativa Competenze interne ed esterne in materia di compliance Percorso formativo Dati ed informazioni aziendali Piano strategico e di business Visite e sanzioni delle Autorità Vigilanza Output del processo Nuove direttive o procedure/ sistemi aziendali di conformità a norme e regolamenti Requisiti procedurali a seguito di nuovi adempimenti normativi Report di attività Risk Report Report consuntivi Sistema di financial reporting Deleghe e procure aziendali

21 Il processo di compliance 21 Ricognizione normativa Valutazione rischi Adozione dei miglioramenti Il processo di compliance è stato rappresentato come costituito da cinque attività fondamentali (di cui le prime quattro vengono spesso considerate cicliche) facenti capo alla funzione di, che opera in qualità di owner del processo: 1. Ricognizione della normativa; 2. Valutazione dei rischi; 3. Adozione dei miglioramenti; 4. Emissione di rapporti periodici e consuntivi; 5. Flussi informativi e formazione del personale. Emissione di rapporti periodici e consuntivi Flussi informativi e formazione del personale Istruzioni interne della funzione Policy Lo svolgimento delle attività di processo segue sia un approccio progettuale, finalizzato cioè all adeguamento ad una specifica normativa, sia un approccio di presidio, condotto nel continuo dalla funzione, fatta eccezione per l ampiezza e il grado di profondità degli interventi. Linee guida flussi informativi aziendali

22 Ricognizione Normativa Diagramma di contesto 22 Mostra le relazioni del processo con partecipanti esterni e altri processi già esistenti. Nuove Direttive o Procedure di conformità Aggiornamento Adempimenti Normativi Valutazione rischi Nuove Direttive o Procedure di conformità Aggiornamento Adempimenti Normativi Eventi dello Scadenzario normativo Adozione dei miglioramenti Nuove Direttive o Procedure di conformità Legale, societario e segreteria Interpretazione legale sulla normativa Ricognizione normativa Aggiornamento Adempimenti Normativi Nuova normativa o modifica normativa comunicata Funzioni Aziendali Sviluppo Organizzativo Richiesta aggiornamento processi/procedure aziendali Richiesta interpretazione legale sulla normativa Legale, societario e segreteria Comunicazione emanazione documento in pubblica consultazione

23 Valutazione rischi Diagramma di contesto 23 Sanzioni Comunicazioni Autorità di vigilanza Funzioni Aziendali Segnalazioni possibili aree rischiosità Richiesta aggiornamento processi/procedure aziendali Sviluppo Organizzativo Gestione del portafoglio Reclami ricevuti dalla Compagnia risk report Adozione dei miglioramenti Report di attività Ricognizione normativa Nuove Direttive o Procedure di conformità Aggiornamento Adempimenti Normativi Valutazione rischi risk report Report di attività Emissione di rapporti periodici e consuntivi Risk Management Flussi informativi risk report Controllo interno Report di Internal Audit Report di attività Funzioni Aziendali Sviluppo e Lancio Nuovi Prodotti Piano Prodotti

24 Adozione miglioramenti Diagramma di contesto 24 Ricognizione normativa Nuove Direttive o Procedure di conformità Aggiornamento Adempimenti Normativi Eventi dello Scadenzario normativo Report di Emissione di rapporti periodici e consuntivi Valutazione rischi risk report Report di attività Adozione dei miglioramenti Richiesta aggiornamento processi/procedure aziendali Sviluppo Organizzativo Flussi informativi Report di Funzioni Aziendali Organi di controllo Flussi informativi Comitati aziendali Report di Flussi informativi Funzioni Aziendali Organi di controllo

25 Reporting Diagramma di contesto 25 Relazione annuale presentata in CdA Consiglio di Amministrazione Valutazione rischi risk report Report consuntivi Report di attività Emissione di rapporti periodici e consuntivi Amministratore Delegato Adozione dei miglioramenti Report di Report consuntivi Organi di controllo Report consuntivi Strutture di controllo

26 Il processo di compliance 26 Fattori di successo Impiego di personale competente e con esperienza di compliance Implementazione e aggiornamento continuo dei requisiti normativi all interno di direttive e procedure aziendali Programma formativo aziendale per rafforzare il rispetto di direttive e procedure aziendali di rispetto delle norme Monitoraggio continuo dei key issue (servizi di investimento, trasparenza, solvibilità ecc.)

27 e IA 27 Punti di discussione Ripartizione dei ruoli in base alle modalità di attivazione degli incarichi Ripartizione in base ai tempi di intervento Ripartizione in base al ruolo consulenziale Ripartizione in base al cliente finale

28 e Internal Auditing 28

36 Approccio di internal auditing sulla 36 Audit di impianto Finalizzato ad accertare la corretta implementazione della funzione Il gap tra i requirement normativi ed il sistema previsto nella progettazione La conformità del modello ai requisiti normativi Audit di funzionamento Finalizzato ad accertare la correttezza dello svolgimento delle fasi componenti il processo operativo Corretta applicazione delle metodologie Effettiva esecuzione delle fasi di processo Il ciclo di reportistica Ecc. Quali i possibili oggetti di valutazione?

37 Approccio di internal auditing sulla 37 MANDATO DELL ATTIVITA ATTIVITA POLITICA DI CONTROLLO MANAGERIALE 37

38 Approccio di internal auditing sulla 38 ORGANIZZAZIONE DELLA FUNZIONE INDIPENDENZA OBIETTIVITA PERFORMANCE 38

39 Approccio di internal auditing sulla 39 VALUTAZIONE DEI RISCHI ATTIVITA DI PIANIFICAZIONE ANALISI DELLO STAFF BUDGET 39

40 Approccio di internal auditing sulla 40 COMPETENZA PROFESSIONALE POLITICA DI SELEZIONE, SVILUPPO ED ASSEGNAZIONE DEL GIUSTO MIX DI SKILL PER REALIZZARE GLI OBIETTIVI DELL ATTIVITA DI AUDITING 40

41 Approccio di internal auditing sulla 41 CARTE DI LAVORO PROGRAMMA LAVORO 41

42 Approccio di internal auditing sulla 42 VALUTAZIONE DELL ATTIVITA ATTIVITA REPORTING COMPLETEZZA PIANO UTILIZZO TEMPO PROGETTI SPECIALI 42

43 Approccio di internal auditing sulla 43 Quality Assessment Manual (QAR) dell IIA Modelli e strumenti di self assessment e per la valutazione esterna. Approccio base della QAR suddivisi per fase di attività: preliminare, verifica sul campo, reporting.

44 44 Grazie per l attenzione. Alberto Paganini alberto.paganini@postevita.it