La Funzione di Compliance e i Modelli di Governo impatti organizzativi

Transcript

1 La Funzione di Compliance e i Modelli di Governo impatti organizzativi Anna Maria Capolongo Barbara Stampalia Torino, 25 settembre 2008

2 Contenuti 2 Quadro normativo Possibili soluzioni organizzative Il processo di Compliance Un possibile approccio progettuale

3 Quadro normativo (1/6) 3 29 ottobre febbraio marzo marzo gennaio 2009 Regolamento ISVAP n.20 - La funzione di compliance Regolamento congiunto Banca d Italia Consob ai sensi dell art. 6, co. 2-bis del TUF Disposizioni di Vigilanza BdI su governo societario e organizzazione banche Regolamento congiunto BdI - Consob Disposizioni di Vigilanza BdI Governo societario Disposizioni di Vigilanza Regolamento ISVAP n. 20 Gli intermediari adottano, applicano e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme (obbligo previsto dalla direttiva 2006/73/CE) Le banche devono porre specifica cura nello strutturare forme di comunicazione e di scambio di informazioni complete, tempestive e accurate tra gli organi con funzioni di supervisione strategica, di gestione e di controllo le imprese si dotano di specifici presidi volti a prevenire il rischio di incorrere in sanzioni (...) o perdite patrimoniali o danni di reputazione, in conseguenza di violazioni di Leggi (art. 22) Funzione Compliance

4 Quadro normativo (2/6) 4 Il Regolamento Congiunto Banca d Italia - Consob Il Regolamento congiunto Banca d Italia Consob pone particolare attenzione al controllo di conformità alle norme, volto a verificare l osservanza del rispetto degli obblighi in materia di prestazione dei servizi Gli intermediari adottano, applicano e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dell impresa e di audit interno Fermo restando l obbligo (previsto dalla Direttiva 2006/73/CE) di istituire in ogni caso la Funzione di Compliance alle norme, è consentita l individuazione di un unico responsabile per lo svolgimento dell attività di compliance e di gestione del rischio o di non istituire le funzioni di gestione del rischio e di audit interno Per garantire la correttezza e l indipendenza della Funzione di Compliance (e delle altre funzioni di controllo) il Regolamento precisa che: la funzione di Compliance debba disporre dell autorità, delle risorse e delle competenze necessarie per lo svolgimento dei compiti che le sono stati attribuiti i soggetti rilevanti che partecipano alla funzione di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a controllare sia separata dalle altre funzioni di controllo, sotto un profilo organizzativo il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alla funzione di controllo non ne comprometta l obiettività La banca può derogare ai suddetti requisiti, qualora dimostri che, in applicazione del principio di proporzionalità, gli obblighi in questione non sono proporzionati e che la Funzione di Compliance continui ad essere efficace Alla Funzione di Compliance spettano i seguenti compiti: controllare e valutare regolarmente l adeguatezza e l efficacia delle procedure volte a prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalla Direttiva MiFID; fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell adempimento degli obblighi posti dal recepimento della Direttiva MiFID; Nel caso in cui non vengano istituite le funzioni di gestione del rischio e di audit interno, la banca deve assicurare comunque l efficacia delle attività di gestione del rischio e di audit, la cui responsabilità, in assenza di un responsabile della funzione, farebbe capo direttamente agli organi aziendali

5 Quadro normativo (3/6) 5 Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (1/2) Sistemi di amministrazione e controllo e progetto di governo societario - Sulla base di un approfondito processo di autovalutazione le banche dovranno individuare il modello di amministrazione e controllo più idoneo ad assicurare l efficienza della gestione e l efficacia dei controlli. Compiti e poteri degli organi sociali - Compiti e poteri di amministrazione e di controllo devono essere ripartiti in modo chiaro ed equilibrato tra i diversi organi e all interno di ciascuno di essi, evitando concentrazioni di potere che possano impedire una corretta dialettica interna Il progetto di governo societario deve: illustrare le ragioni che rendono il modello prescelto il più idoneo; descrivere le specifiche scelte attinenti alla struttura organizzativa, ai diritti degli azionisti, alla struttura finanziaria e alle modalità di gestione dei conflitti di interesse; fornire, nel caso della Capogruppo, la rappresentazione e la motivazione delle modalità di raccordo tra organi e funzioni aziendali; essere redatto ed inviato alla Banca d Italia in fase di costituzione della banca; essere redatto da tutte le banche entro il 30 giugno 2009 ed aggiornato ogni qual volta vi siano modifiche organizzative di rilievo ed essere sottoposto, ove richiesto, alla Banca d Italia. L Organo con funzioni di controllo deve: vigilare sulla funzionalità del sistema dei controlli interni. A tal proposito riceve dalle strutture di controllo adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali; partecipare alle decisioni riguardanti la nomina dei responsabili delle funzioni di controllo interno e la definizione degli elementi essenziali dell architettura del sistema dei controlli; vigilare sull adeguatezza del sistema di gestione e controllo dei rischi, a tal fine, esso deve avere una idonea conoscenza dei sistemi adottati dall intermediario, del loro funzionamento, della loro capacità di coprire ogni aspetto dell operatività aziendale.

6 Quadro normativo (4/6) 6 Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (2/2) Composizione degli Organi Sociali - la suddivisione di compiti e responsabilità all interno degli organi aziendali deve essere coerente con il ruolo ad essi attribuito dal sistema di amministrazione e controllo prescelto. Il numero dei componenti degli organi sociali deve essere adeguato alle dimensioni e alla complessità dell assetto organizzativo della banca. Flussi informativi - La circolazione di informazioni tra gli organi sociali e all interno degli stessi rappresenta una condizione imprescindibile affinché siano effettivamente realizzati gli obiettivi di efficienza della gestione ed efficacia dei controlli. Accertare ed assicurare l idoneità degli esponenti a svolgere le proprie funzioni, sotto il profilo della professionalità, della disponibilità di tempo e dell indipendenza I limiti al cumulo degli incarichi devono essere oggetto di specifiche previsioni dello statuto o di regolamenti interni Nell organo con funzione di supervisione strategica devono essere presenti componenti indipendenti in numero adeguato La composizione degli organi, la nomina e la revoca dei relativi componenti devono essere disciplinate nello statuto in modo chiaro e trasparente Relativamente alla gestione dei flussi informativi, redazione di appositi regolamenti contenenti: Tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi, necessaria ai fini dell adozione delle delibere sulle materie all ordine del giorno; documentazione e verbalizzazione del processo decisionale; disponibilità ex post di detta documentazione; trasmissione delle delibere all Autorità di Vigilanza; Individuazione dei soggetti tenuti a inviare, su base regolare, i flussi informativi agli organi aziendali; Determinazione del contenuto minimo dei flussi informativi includendo il livello e l andamento dell esposizione della banca a tutte le tipologie di rischio rilevanti, gli eventuali scostamenti rispetto alle politiche approvate dall organo di supervisione strategica, tipologie di operazioni innovative e i rispettivi rischi.

7 Quadro normativo (5/6) 7 Disposizioni di Vigilanza Regolamento ISVAP n. 20 (1/2) Art. 23, comma 1, Le imprese istituiscono una funzione di compliance, proporzionata alla natura, dimensione e complessità dell attività svolta, cui è affidato il compito di valutare che l organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all articolo 22 Art. 23, comma 4, La funzione di compliance deve possedere adeguati requisiti di indipendenza ( ) e disporre delle risorse quantitativamente e professionalmente adeguate per lo svolgimento delle attività Art. 23, comma 5, Le imprese organizzano la funzione di compliance valutando se costituirla in forma di specifica unità organizzativa o mediante il ricorso a risorse appartenenti ad altre unità aziendali Art. 23, comma 6, è garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze Nell identificazione e valutazione del rischio di non conformità alle norme, le imprese devono porre particolare attenzione al rispetto delle norme relative alla trasparenza ed alla correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore Il Regolamento prevede la costituzione di una specifica funzione di Compliance, incaricata di verificare che l organizzazione e le procedure aziendali siano adeguate a tali obiettivi, dettando alcuni principi per l istituzione e l operatività della funzione Alla funzione di Compliance deve essere garantita l indipendenza, il libero accesso a tutte le attività dell impresa ed a tutte le informazioni pertinenti, professionalità e autorevolezza della funzione, nonché la separatezza dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze Il Regolamento prevede che le Compagnie di assicurazione, nella propria autonomia, organizzino la funzione di Compliance valutando se costruirla in una specifica unità organizzativa o se avvalersi di risorse appartenenti ad altre funzioni aziendali, ricondotte ad unitarietà attraverso l individuazione di un unico responsabile della funzione In considerazione alle esigenze delle piccole imprese ed in applicazione del principio di proporzionalità, si prevede che, nel caso in cui l istituzione di una specifica funzione di Compliance non risponda a criteri di economicità, le imprese possano esternalizzare tale funzione nel rispetto delle condizioni di cui al Capo VIII Le attività relative alla funzione di Compliance possono essere accentrate all interno del gruppo assicurativo, attraverso la costituzione di un unità specializzata

8 Quadro normativo (6/6) 8 Disposizioni di Vigilanza Regolamento ISVAP n. 20 (2/2) Art. 29, Le imprese possono concludere accordi di esternalizzazione a condizione che la natura e la quantità delle attività esternalizzate e le modalità della cessione non determinino lo svuotamento dell attività dell impresa cedente. Non può in ogni caso essere esternalizzata l attività di assunzione dei rischi Art. 35, comma 1, Nel caso di esternalizzazione di attività essenziali o importanti, le imprese ne danno preventiva comunicazione all ISVAP, almeno quarantacinque giorni prima della esecuzione del contratto, comunicando i dati relativi all attività ceduta, al fornitore, alla durata dell esternalizzazione e al luogo in cui si svolge l attività esternalizzata... Art 23, comma 7, Il collegamento tra la funzione di compliance e le funzioni di revisione interna e di risk management è definito e formalizzato dall organo amministrativo. Il Capo VIII assume particolare rilievo, in quanto disciplina, per la prima volta in modo organico, l esternalizzazione di attività e funzioni delle imprese di assicurazione Nel caso di esternalizzazione della funzione di Compliance, le imprese devono dare preventiva comunicazione all ISVAP, allegando la bozza di contratto, a cui può essere data esecuzione trascorsi 60 giorni dalla ricezione L ISVAP può imporre all impresa di modificare il contratto di esternalizzazione, ovvero, nei casi più gravi, di recedere dal contratto L esternalizzazione di funzioni non può in alcun modo esonerare gli organi sociali e l alta direzione delle proprie responsabilità La Sezione II del Regolamento definisce gli obblighi di comunicazione nei confronti dell ISVAP, diversificati a seconda che l esternalizzazione riguardi: funzioni essenziali o importanti funzioni di revisione interna, di Risk Management e di Compliance altre attività L organo amministrativo definisce e formalizza il collegamento tra la funzione di Compliance e le funzioni di Revisione Interna e di Risk Management Nell istituire la funzione, comunque la si organizzi, deve essere pertanto garantita la separazione della funzione di Compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze La funzione di Compliance è comunque separata dalla funzione di Revisione Interna ed è sottoposta a verifica periodica da parte della stessa.

9 Contenuti 9 Quadro normativo Possibili soluzioni organizzative Il processo di Compliance Un possibile approccio progettuale

10 Possibili soluzioni organizzative Il sistema dei controlli CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO CONTROLLI DI TERZOLIVELLO CONTROLLI DI LINEA Consistono nelle verifiche svolte sia da chi mette in atto una determinata attività, sia da chi ne ha la responsabilità di supervisione, generalmente nell ambito della stessa unità organizzativa o funzione GESTIONE DEI RISCHI E volta a individuare, misurare, controllare e gestire tutti i rischi legati alle attività, ai processi e ai sistemi dell impresa in conformità con le strategie e il profilo di rischio definiti dall alta dirigenza CONTROLLI DI CONFORMITA Sono volti a verificare l osservanza del rispetto degli obblighi in materia di prestazione dei servizi CONTROLLO INTERNO L attività di audit interno è volta a valutare, in una prospettiva di terzo livello, la completezza, la funzionalità e l adeguatezza dei sistemi e delle procedure, anche di controllo FUNZIONE DI LINEA FUNZIONE DI RISK MANAGEMENT / COMPLIANCE FUNZIONE INTERNAL AUDIT

11 Possibili soluzioni organizzative Posizionamento delle Funzioni di Controllo 11 CDA Internal Audit Funzione Compliance Risk Management Direzione Funzione di Linea Funzione di Linea Funzione di Linea Funzione di Linea Le funzioni di controllo devono essere indipendenti sia rispetto alle attività controllate, sia tra loro L approvazione delle politiche di gestione del rischio di non conformità e l istituzione della Funzione di Compliance sono di competenza esclusiva e non delegabile del CdA Il responsabile della Funzione Compliance è nominato e revocato dal CdA, sentito l organo con funzioni di controllo Il responsabile della Funzione Compliance riferisce direttamente agli organi aziendali

12 Possibili soluzioni organizzative Esempi di modelli organizzativi 12 POSSIBILI SCENARI ACCENTRATA Le attività di conformità sono svolte da personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della Funzione Compliance Risorse Dedicate Funzione Compliance Risorse dedicate FUNZIONE COMPLIANCE DECENTRATA Le attività di conformità sono svolte da personale inserito in strutture operative diverse e coordinate dal responsabile della Funzione Compliance ESTERNALIZZATA Le attività di conformità sono svolte da personale inserito in una società esterna e coordinate dal responsabile della Funzione Compliance Funzione Compliance Responsabile Compliance Funzione Legale Risorse Specializzate Risorse Specializzate Specialisti Funzione Organizzazione Società Esterna Risorse Specializzate Risorse Specializzate Specialisti DI GRUPPO Le attività di conformità sono svolte dalla Funzione di Compliance della Capogruppo e coordinate dal responsabile della medesima Società del Gruppo Capogruppo Funzione Compliance Risorse dedicate Risorse dedicate

13 Possibili soluzioni organizzative Esempio di flussi informativi tra le funzioni di controllo 13 Il contributo alla creazione di valore da parte della Funzione di Compliance risulterà tanto maggiore quanto più forti saranno le sinergie realizzate con gli altri attori del sistema dei controlli La collaborazione tra tali funzioni consente di sviluppare metodologie di gestione del rischio in modo coerente con le strategie e l operatività aziendale RISK MANAGEMENT COMPLIANCE INTERNAL AUDIT Collaborazione per la messa a punto di metodologie unitarie per l individuazione, misurazione, gestione e mitigazione dei rischi condivisi Invio della reportistica periodica di sintesi inerente le misurazioni effettuate da parte della Funzione Risk Management Contributo nella fase di aggiornamento e implementazione delle check-list adottate per lo svolgimento delle verifiche da parte della funzione internal audit Esiti delle verifiche ispettive condotte dalla Funzione Compliance Invio della relazione periodica nel quale è analizzato lo stato di conformità dell organizzazione Invio del piano annuale di compliance Esiti delle verifiche ispettive in loco e dei controlli a distanza sulle aree operative che presentino aspetti significativi in termini di compliance Esiti delle attività di follow-up per le verifiche sopra indicate Reclami della clientela che presentino aspetti legati alla compliance Invio della relazione periodica sul sistema dei controlli interni

14 Possibili soluzioni organizzative Una eventuale evoluzione (1/3) 14 L esperienza di realtà di grandi dimensioni evidenzia la necessità di una gestione integrata delle informazioni e dei rischi, al fine di ridurre le problematiche legate alla c.d. cacofonia informativa all alta direzione e all organo amministrativo

15 Possibili soluzioni organizzative Una eventuale evoluzione (2/3) 15 CT3 Infrastruttura organizzativa CT6 Reportistica integrata CT4 Razionalizzazione delle azioni correttive CT1 Infrastruttura globale dei controlli CT2 - Metodologia unica di risk assessment CT5 Integrazione dei sistemi

16 Possibili soluzioni organizzative Una eventuale evoluzione (3/3) 16

17 Contenuti 17 Quadro normativo Possibili soluzioni organizzative Il processo di Compliance Un possibile approccio progettuale

18 Processo di compliance 18 Il processo attraverso il quale la Funzione di Compliance verifica la coerenza delle procedure interne alle norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (codice etico, codice di condotta) può essere organizzato nei seguenti sottoprocessi IMPLEMENTAZIONE Individuazione della normativa Valutazione impatto normativo Misurazione/Valutazione dei rischi su processi e procedure aziendali Pianificazione interventi organizzativi e procedurali Proposta di modifiche, definizione delle priorità relativamente ai gap individuati e predisposizione del milestone plan degli interventi Disegno del sistema di Reporting Sistema che includa verifiche da effettuare, traccia dei risultati delle stesse, misure adottate per rimediare a eventuali carenze, attività pianificate MONITORAGGIO Definizione procedure di verifica Controlli su procedure operative Controlli di efficacia di regole e procedure operative Acquisizione e risoluzione anomalie Notifiche di non compliance agli Organi di Vertice Autocertificazione (self-assessment) Aggiornamento del sistema di gestione di non conformità alle norme Consulenza per progetti innovativi Comunicazione e formazione sulla normativa

19 Contenuti 19 Quadro normativo Possibili soluzioni organizzative Il processo di Compliance Un possibile approccio progettuale

20 Un possibile approccio progettuale Obiettivi 20 1 Implementare il processo di Compliance tramite la definizione del perimetro normativo, l individuazione dei gap nei processi as is e la pianificazione di interventi mirati alla risoluzione degli stessi 2 Definire gli aspetti organizzativi della Funzione di Compliance al fine di dotarla di adeguate policy e procedure e di definire i ruoli e le responsabilità al suo interno e nei confronti delle altre funzioni aziendali Implementazione del processo Sistemi informativi 3 Definire un sistema di governo delle strutture organizzative, delle infrastrutture e delle applicazioni IT al fine di coordinare e monitorare la conformità dei processi operativi alle normative interne e alle regolamentazioni esterne, supportando le Funzioni Aziendali nell allineamento alle diverse esigenze di compliance Governance

21 Un possibile approccio progettuale Macroattività 21 Governance Definizione della Policy 1 Disegno del Processo Attribuzione dei ruoli e delle responsabilità Disegno del sistema di reporting Implementazione del cambiamento Inventario della normativa Compliance Risk Analysis su normativa pilota preventivamente individuata Piano delle azioni correttive su normativa pilota Linee guida per il funzionamento del Processo di Compliance L approccio sopra delineato parte dal presupposto che sia stato definito il posizionamento organizzativo e gerarchico della Funzione di Compliance e si sia provveduto alla nomina del suo Responsabile L individuazione delle macroattività da svolgere per il corretto Set Up della Funzione di Compliance è realizzata alla luce dei risultati della Gap Analysis effettuata sull attuale status della stessa

22 Un possibile approccio progettuale Cantiere Governance 22 Attività Definizione di una policy di gestione del rischio di non conformità ai requisiti normativi, sia in ambito Business che in ambito IT A Disegno del processo Formalizzazione del processo di compliance e dei relativi sottoprocessi Implementazione del processo e dei relativi sottoprocessi Formalizzazione delle procedure operative della Funzione di Compliance Formalizzazione di procedure di revisione periodica B Attribuzione dei ruoli e delle responsabilità Definizione e formalizzazione di ruoli e responsabilità Definizione e formalizzazione delle interrelazioni Definizione e formalizzazione del mansionario della funzione C Disegno del sistema di reporting in termini di: Destinatari Periodicità Contenuti D E Deliverable A Policy di gestione del rischio di non conformità B Modello concettuale del processo di compliance e relativi sottoprocessi Procedure operative della funzione di Compliance C D E Charter Funzione di Compliance Ruoli e responsabilità Mansionario Template reporting interno alla Funzione di Compliance per l Alta Direzione Template reporting verso le altre funzioni di controllo (Risk Management, Internal Audit)

23 Un possibile approccio progettuale Cantiere Implementazione della fase cambiamento 23 Attività Legal Inventory Definizione del perimetro Analisi del contesto normativo Individuazione dei requisiti chiave da rispettare 5 F Compliance Risk Analysis su una normativa pilota Identificazione della normativa pilota Individuazione dei processi compliance sensitive Mappatura dei requisiti chiave sui G singoli processi in esame e sui sistemi informativi impattati Condivisione della mappatura con il GdL Analisi della situazione AS IS Individuazione dei gap 6 Corrective Action Plan su una normativa pilota Definizione di un master plan degli interventi per la risoluzione dei gap individuati Definizione e formalizzazione delle linee guida per la fase di Funzionamento del Processo di Compliance 7 H I 8 Individuazione e razionalizzazione delle sovrapposizioni Determinazione del set di informazioni provenienti dalle funzioni Risk Management e Internal Audit al fine di individuare e razionalizzare eventuali aree di sovrapposizione 9 L M Deliverable Definizione e Mappatura dei F formalizzazione del G requisiti sui H perimetro normativo processi Mappa dei requisiti chiave sul modello dei rischi del Gruppo Individuazione degli eventuali Gap regolamentari I Master plan implementativo Linee guida per il funzionamento L M Overlap analysis Documento di razionalizzazione dei flussi informativi

24 Domande? 24 Q&A