Resoconto degli interventi. Sessione Plenaria V

Transcript

1 Resoconto degli interventi Sessione Plenaria V 1

2 Sessione plenaria V La Funzione di Compliance: stato dell arte e prospettive in termini di attività, metodologie, strumenti 11 nov ore Chairman: Claudia Pasquini, Responsabile Ufficio Analisi e Gestione Rischi, ABI Interventi: Presentazione dei risultati della survey ABI sulla Funzione Compliance: lo stato dell arte e le nuove prospettive, Rupert Limentani, Limentani & Partners e Claudia Pasquini, ABI. I dati per valutare il Rischio di Compliance, Maria Martinelli, Responsabile Area Compliance, Ubi Banca Il rischio reputazionale: un approccio metodologico per la valutazione, Valeria Nina Franceschini, Servizio Compliance, Banca Tercas I controlli di compliance a distanza: gli Indicatori di Rischio di non conformità, Leonardo Sisinni, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena L utilizzo del whistleblowing nel settore finanziario e non: quali opportunità e quali rischi, Giorgio Fraschini, Transparency International Italia Presentazione dei risultati della survey ABI sulla Funzione Compliance: lo stato dell arte e le nuove prospettive, Rupert Limentani, Limentani & Partners e Claudia Pasquini, ABI La Survey si è proposta di indagare, a 4 anni dall entrata in vigore delle Disposizioni di Vigilanza della Banca d Italia del 10 luglio 2007 e dal Regolamento congiunto del 29 ottobre 2007, lo stato dell arte e le prospettive di evoluzione della Funzione Compliance presso le banche ed i gruppi bancari italiani. L intento è stato quello di focalizzare l attenzione su aree tramite sulle quali la Funzione Compliance può contribuire a generare valore aggiunto per la banca. La rilevazione dei dati è avvenuta tramite questionario, sottoposto alle Banche capogruppo dei primi 50 gruppi bancari italiani (secondo il Totale Attivo Lordo al 2010) e ad alcune Banche italiane stand alone di particolare interesse. Le informazioni ricevute da parte delle banche fanno riferimento al Alla ricerca hanno partecipato attivamente 40 banche e gruppi bancari: n. 5 Banche con totale attivo > 100 Mld ( Classe1 ) n. 21 Banche con totale attivo < 100 Mld e > 5 Mld ( Classe 2 ) n. 14 Banche con totale attivo < 5 Mld ( Classe 3 ) I risultati sono stati interpretati secondo i seguenti criteri: 1. Valutazione delle risposte raggruppate per classe dimensionale del rispondente; produzione di tabelle riassuntive per ogni domanda 2. Valutazione dei commenti integrativi inseriti dai singoli rispondenti e integrazione nelle tabelle; 3. Valutazione della coerenza delle risposte, con riferimento sia alle tabelle riassuntive sia ai questionari individuali, con identificazione delle aree di maggiore criticità. Alcuni risultati dell indagine Al 30/06/2011, quante sono le risorse (FTE) in forza alla Funzione Compliance? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale 1 5 0% 29% 86% 45% % 14% 0% 8% % 43% 7% 28% 2

3 >20 80% 14% 7% 20% TOTALE 100% 100% 100% 100% La FC dispone di applicativi tecnologici dedicati alla gestione del processo aziendale di compliance risk management? N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale Sistema GRC 40% 33% 29% 33% Software sviluppato 40% 14% 0% 13% internamente In fase di scelta (SW 0% 10% 0% 5% presente in banca) In fase di scelta SW 0% 19% 14% 15% dal mercato Programmi MS 20% 24% 57% 35% Office Nessun strumento 0% 0% 0% 0% Modello La survey chiedeva il modello adottato per la compliance: Accentrato o In un gruppo bancario: Compliance collocata nella Capogruppo, referenti nelle società controllate con rapporto funzionale alla Funzione Compliance della Capogruppo o In una banca stand alone: tutto il personale di Compliance collocato nella Funzione stessa Decentrato o In un gruppo bancario: Unità minima di CO nella Capogruppo; nelle principali UO della Capogruppo e nelle società del gruppo vi è un referente, tutti con riporto funzionale alla Funzione Compliance della Capogruppo o In una banca stand alone: nelle principali UO vi sono referenti di compliance con riporto gerarchico al proprio responsabile e funzionale alla Funzione Compliance Misto (solo per gruppi bancari): o nella Capogruppo è collocato il team di Compliance; nelle principali UO della Capogruppo vi è un referente mentre le società del gruppo hanno proprie unità di Compliance, tutte con riporto funzionale alla Funzione Compliance della Capogruppo N Rispondenti: 40 Classe 1 Classe 2 Classe 3 Totale Riporto gerarchico al responsabile della UO e 40% 52% 29% 42% funzionale alla FC Riporto gerarchico e funzionale alla UO 40% 14% 14% 18% Riporto gerarchico e funzionale alla FC 0% 5% 0% 3% No risorse in altre UO 20% 29% 57% 37% Perimetro Fra le materie elencate, le più trattate risultano essere, in ordine decrescente: Trasparenza (100%) Abusi di mercato / conflitti d interesse (95%) Privacy (92,5%) Servizi di investimento / MIFID (90%) Antiusura (87,5%) Politiche di remunerazione (85%) 3

4 Antiriciclaggio / antiterrorismo (80%) Monitoraggio reclami (80%) Credito al consumo (77,5%) Parti correlate, soggetti collegati (72,5%) Responsabilità amministrativa enti (231/2001) (72,5%) Servizi di pagamento (60%) Fra le materie elencate, le meno trattate risultano essere, in ordine crescente: Diritti degli azionisti (10%) Business continuity (15%) Requisiti onorabilità e professionalità degli esponenti aziendali (17,5%) Previdenza complementare (17,5%) Non vengono incluse nel perimetro, in prevalenza: Tributario, fiscale, Giuslavoristico Salute e sicurezza Alcuni dati sull antiriciclaggio L Antiriciclaggio è una funzione interna, in prevalenza incardinata nella FC (66,7%). A eccezione di una banca della classe 2 (che ha esternalizzato la funzione con un responsabile interno), nessuna banca ha completamente esternalizzato l Antiriciclaggio Tre banche della classe 1 hanno incardinato l Antiriciclaggio nella FC, mentre due mantengono la funzione autonoma. Sia quando la funzione antiriciclaggio è autonoma, sia quando è incardinata in un altra area, essa stessa svolge controlli di secondo livello sul rispetto della normativa antiriciclaggio. Con funzione incardinata nella Compliance, nella quasi totalità delle banche intervistate, ad eccezione di due della classe 1, tre della classe 2 e una classe 3, il Responsabile di Compliance è anche Responsabile di Antiriciclaggio. Se la funzione Antiriciclaggio è autonoma dalla FC, è previsto uno scambio di flussi informativi tra le due funzioni? N Rispondenti: 11 Classe 1 Classe 2 Classe 3 Totale No 0% 29% 0% 18% Sì 100% 71% 100% 82% N.B.: I flussi informativi maggiormente scambiati sono relativi agli esiti delle reciproche attività di controllo e dei processi interessati dal rischio di riciclaggio Accordi di Servizio Sono stati stipulati accordi fra FC e Internal Audit per attività di controllo di conformità su aspetti rilevanti ed aree di vulnerabilità al rischio di Compliance? 46% sì 54% no Su 13 risposte circa l oggetto specifico dell AdS prevalgono MIFID (9) Antiterrorismo e Antiriciclaggi (2) Trasparenza (2) 4

5 Whistleblowers In relazione all importanza del rischio di conformità nel settore bancario si ritiene che possa essere utile l implementazione di una policy aziendale di whistleblowing? N Rispondenti: 39 Classe 1 Classe 2 Classe 3 Totale Sì, ma la cultura italiana nelle aziende ancora non 20% 19% 31% 23% lo permette Sì, ma con molteplici cautele 60% 71% 62% 67% No 20% 10% 8% 10% I dati per valutare il Rischio di Compliance, Maria Martinelli, Responsabile Area Compliance, Ubi Banca La dottoressa Martinelli ha svolto un ampia relazione sulla valutazione del rischio di Compliance, L agenda del suo intervento era così articolate: a. Adempimenti della Funzione Compliance (B.I. luglio 2007) b. Il processo di conformità c. Framework organizzativo, modello dati d. Processo di valutazione del rischio e. Elementi per la valutazione del rischio inerente f. Elementi per la valutazione del rischio residuo in regime di adeguatezza g. Elementi per la valutazione del rischio residuo in termini di efficacia La dottoressa Martinelli ha esordito ricordando i principali adempimenti normativamente assegnati alla Funzione di Conformità che rimandano all esigenza di valutare il rischio di compliance: l identificazione nel continuo delle norme applicabili alla banca e la misurazione / valutazione del loro impatto su processi e procedure aziendali; il coinvolgimento nella valutazione ex ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi che la banca intenda intraprendere la formulazione di proposte e di modifiche organizzative e procedurali finalizzata ad assicurare l adeguato presidio dei rischi di non conformità identificati la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (in riferimento, tra l altro alla riconduzione in unità dell esposizione al rischio di non conformità). a verifica di efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformità Per quanto riguarda gli elementi per la valutazione del rischio inerente occorre tenere in considerazione tipologia, severità e sanzioni, cioè l impatto economico nonché i fattori dimensionali / di business. Per quanto riguarda gli elementi per la valutazione del rischio residuo in regime di adeguatezza, occorre una valutazione qualitativa, condotta secondo linee guida tecnico/operative, dei presidi organizzativi: Policy Regolamenti Disposizioni operative Contenuti e percorsi formativi Comunicazioni e flussi informativi Etc 5

6 L Analisi di adeguatezza dell impianto regolamentare ed operativo vigente è condotta in termini di: Contenuto (chiarezza, completezza, livello di dettaglio, etc ) Comunicazione Infine gli elementi per la valutazione del rischio residuo in termini di efficacia ricomprende elementi qualitativi e quantitativi alimentata da molteplici fonti informative: Esiti delle verifiche di conformità Indici di efficacia Segnalazioni degli utenti interni Procedure ad hoc per la segnalazione Analisi tecnica dell evento e eventuale assessment Reclami/Segnalazioni dei clienti ovvero del Customer Care Accesso dal database dei reclami Elaborazione statistica dei dati di reclamo/indici di efficacia Analisi tecnica del reclamo e eventuale assessment Rilievi del Risk Management Rischi operativi Recupero degli event type direttamente riconducibili a non conformità (costo della non conformità) Analisi tecnica dell evento e assessment Valorizzazione delle schede di Self Risk Assessment Recupero degli esiti e analisi tecnica degli scenari percepiti a maggior rischio Esiti delle verifiche condotte dall Internal Audit in ragione dello specifico Accordo di servizio Accesso esiti delle rilevazioni in loco su check list specifiche Analisi statistica degli esiti delle verifiche condotte/indici di efficacia Analisi tecnica degli esiti e assessment Segnalazioni dell Internal Audit rivenienti dalle verifiche di competenza Elaborazione degli esiti delle valutazioni di Internal Audit e determinazione della valutazione del rischio di non conformità Il rischio reputazionale: un approccio metodologico per la valutazione, Valeria Nina Franceschini, Servizio Compliance, Banca Tercas L agenda dell intervento della dottoressa Franceschini è stata: Il Gruppo Bancario Tercas: presentiamoci Il processo di Compliance Il rischio reputazionale ed il concetto di percezione Il risk assessment del rischio di non conformità e la variabile del rischio reputazionale Il primo alert reputazionale: i reclami bancari Il Gruppo Bancario Tercas, che comprende al suo interno BancaTercas, BancaCaripe e TerBroker, rappresenta il primo polo bancario indipendente abruzzese. La mission del gruppo è assicurare agli stakeholders una creazione di valore stabile e sostenibile, coerente con i profili di rischio, e in grado di consentire alla Banca di proseguire in un percorso di crescita autonomo. Vogliamo essere identificati come interlocutori di fiducia dalle Famiglie e dall Economia locale, capaci di soddisfare le loro esigenze finanziarie in modo semplice e continuo nel tempo. Garantiamo ai nostri collaboratori un ambiente di lavoro aperto e meritocratico La Funzione di Compliance offre: Supporto consulenziale nell ambito di progetti innovativi e dello sviluppo di nuovi prodotti/servizi 6

7 Verifica preventiva della normativa interna e della documentazione di rilevanza esterna nelle relazioni con la clientela Definizione ed esecuzione delle verifiche ex post Attività di monitoraggio dei rischi di conformità a cui è esposta la Banca e reporting verso gli organi di amministrazione e controllo Il rischio reputazionale è il rischio attuale o prospettico di flessione degli utili o del capitale prodotto da una percezione negativa dell immagine della banca da parte degli stakeholders. Semplicemente, viene inteso come lo scostamento da un comportamento ideale, che produce una perdita per l impresa in termini di reputazione. La salvaguardia della percezione dell immagine della Banca passa da un lato per la diffusione di una cultura improntata a principi di onestà, correttezza e rispetto delle norme; dall altro, attraverso precisi presidi organizzativi, volti ad assicurare il rigoroso rispetto delle prescrizioni normative e di autoregolamentazione. La valutazione del rischio reputazionale viene effettuata su 3 livelli di rischiosità in base all impatto sull immagine della Banca: Alto: evento che se non gestito correttamente può compromettere l'immagine dell'azienda sul mercato. In particolare il rischio reputazionale è considerato alto in presenza di pena detentiva, radiazione o censura della Banca, sospensione delle attività dell istituto finanziario, sanzioni che prevedono la pubblicazione del provvedimento sanzionatorio su quotidiani nazionali o in presenza di eventi che, anche se formalmente non rilevanti, potrebbero avere un impatto significativo sull immagine della Banca. Medio: evento con impatto generalizzato ma assorbibile con la normale relazione con il cliente. In particolare il rischio reputazionale è considerato medio in presenza di sanzioni che prevedono la pubblicazione del provvedimento sanzionatorio attraverso mezzi di comunicazione che non sono di massa e che comunque non comportano impatto rilevante sull immagine della Banca. Basso: evento con impatto contenuto assorbibile con la normale relazione con il cliente. In particolare il rischio reputazionale può essere valutato basso in assenza di pene detentive, di sanzioni accessorie che prevedono la pubblicazione del provvedimento sanzionatorio e che comunque non comportano impatto rilevante sull immagine della Banca. Infine, sui reclami la dottoressa Franceschini ha ricordato che devono essere analizzati, poiché la motivazione del reclamo, può non derivare da una perdita reputazionale della Banca o dalla perdita di fiducia. Sicuramente un aumento spropositato del numero dei reclami ricevuti può determinare un primo alert, a cui la Banca deve prestare attenzione. A tutti i reclami va conferita la stessa attenzione. I controlli di compliance a distanza: gli Indicatori di Rischio di non conformità, Leonardo Sisinni, Area Compliance e Customer Care, Banca Monte dei Paschi di Siena L agenda dell intervento del dottor Sisinni: Evoluzione del quadro normativo Il Modello di Presidio della Conformità nel Gruppo MPS Monitoraggio a distanza: gli Indicatori di Rischio di non Conformità: o Obiettivi o Metodologia o Struttura indicatori o Alcuni esempi 7

8 Sisinni ha esordito illustrando le logiche di attuazione delle previsioni normative con particolare riferimento ai rapporti tra Compliance e Internal Audit. Possibili logiche di ripartizione dei compiti con la Funzione Internal Audit sono: Controlli ex ante vs controlli ex post; Controlli a distanza vs controlli in loco ; Controlli sulle procedure vs controlli sui comportamenti. In realtà, ha ricordato Sisinni, non esiste un unica soluzione valida per tutte le banche ma differenti opzioni possibili in funzione: delle caratteristiche dimensionali degli intermediari (principio di proporzionalità) degli assetti organizzativi (autonomia organizzativa). La correttezza di tali considerazioni è stata confermata dai recenti orientamenti: delle Autorità di Vigilanza (Comunicazione Congiunta Consob/Bankit dell 8/3/2011) in materia di ripartizione delle competenze tra Compliance e Internal Audit nella prestazione dei servizi di investimento e di gestione collettiva del risparmio; dell Associazione di Categoria (Linee Guida Abi in materia di Accordi di Servizio tra Compliance e Internal Audit). Il Gruppo MPS ha optato, in sede di impianto, per un modello INTEGRATO di gestione del rischio di non conformità in considerazione: dell elevata trasversalità del processo; dell obiettivo di coniugare efficacia ed efficienza; della forte necessità di competenze specialistiche. È stata pertanto istituita una Funzione Compliance quale owner della conformità con attribuzione di responsabilità ad altre funzioni aziendali e previsione di efficaci meccanismi relazionali con flussi informativi periodici verso la Funzione Compliance. In particolare la Funzione Compliance ha responsabilità su: Governo e gestione del processo di compliance Applicazione politiche di gestione sulla conformità Gestione rapporti con gli Organi di Vertice e di Vigilanza Gestione operativa Comunicazione e formazione in materia di compliance Consulenza e assistenza interna In banca, infine, sono state individuate le normative ad impatto rilevante (servizi di investimento, trasparenza, privacy, market abuse, usura, antiriciclaggio, parti correlate, tutela del consumatore) ove vi è un presidio diretto da parte della funzione Compliance dalle normative ad impatto ordinario (fiscale, adeguatezza patrimoniale, diritto societario, diritto del lavoro, business continuity management, ) ove invece ci sono presidi da parte di funzioni specialistiche e flussi informativi verso la Funzione Compliance Per quanto riguarda il modello di valutazione dei rischi di non conformità Sisinni ha illustrato le due modalità adottate: 1. Conformità del contesto aziendale (ex ante) 2. Conformità operativa (ex post) ove è collocato il sistema di monitoraggio a distanza Il sistema di monitoraggio a distanza consente di individuare e monitorare secondo le periodicità definite le aree a maggior rischio, anche al fine di orientare in maniera efficace l azione di controllo della Funzione ed avviare interventi di adeguamento tempestivi e mirati. Al fine di valutare l effettivo stato di conformità, nel corso del 2011 la Funzione Compliance ha definito il modello di monitoraggio a distanza mediante specifici indicatori di rischio di non conformità (IRC). 8

9 Gli Indicatori di Rischio di non Conformità consistono in rilevazioni dei dati presenti nel sistema informativo, riguardano le principali materie ad impatto rilevante che presentano dati quantitativi, sono ottenuti dall elaborazione dei dati rilevati che esprimono valori numerici rappresentativi del livello di effettiva conformità operativa su una scala predefinita. L utilizzo del whistleblowing nel settore finanziario e non: quali opportunità e quali rischi, Giorgio Fraschini, Transparency International Italia L agenda dell intervento è stata: Cos è il whistleblowing Contesto giuridico italiano Stato dell arte e pratiche Perché il whistleblowing Fraschini ha cominciato con la definizione di whistleblower, un lavoratore che, durante l attività lavorativa all interno di un organizzazione pubblica o privata, rileva una possibile frode, un pericolo o un altro serio pericolo che possa danneggiare clienti, colleghi, azionisti, il pubblico o la stessa reputazione dell organizzazione e decide di segnalarla a una persona o un ente che possa agire efficacemente al riguardo. Nel contesto giuridico italiano non esistono leggi specifiche sul whistleblowing. Le norme rilevanti sono contenute in diversi atti normativi (codice civile, penale, diritto del lavoro, disciplina sulla protezione dei dati personali e altri). Viceversa c è un obbligo di adozione di procedure per il whistleblowing da parte di società quotate sul mercato azionario USA. In Italia il decreto legislativo 231/2001 non garantisce protezione ai whistleblower ma prevede l istituzione di procedure di reportistica interna per una serie determinata di reati (reati presupposto ex artt. 24 e ss) ad esempio la predisposizione di flussi informativi periodici (i cd. flussi strutturati dalle aree a rischio reato) e segnalazioni di ogni provenienza, anche esterna, relativi ad anomalie (whistleblowing). Va poi presa in considerazione la normativa sui dati personali: l articolo 29 del Data Protection Working Party (UE), il parere 1/2006 relativo all applicazione della normativa UE sulla protezione dei dati alle procedure interne per la denuncia delle irregolarità riguardanti la tenuta della contabilità, i controlli contabili interni, la revisione contabile, la lotta contro la corruzione, la criminalità bancaria e finanziaria Il 10 dicembre 2009 il Garante per la privacy italiano ha segnalato al Parlamento e al Governo la necessità di regolare i sistemi di whistleblowing. Nel settore bancario alcuni (scarsi) riferimenti a questa tematica possono essere rinvenuti nella testimonianza dell ex Governatore Mario Draghi, L azione di prevenzione e contrasto del riciclaggio (luglio 2009) e nella posizione della Federazione Autonoma Bancari Italiani (luglio 2011) In conclusione Fraschini ha ricordato perché il whistleblowing è importante per le aziende: permette la conoscenza tempestiva da parte dei vertici bancari di irregolarità altrimenti ignote è uno strumento che coinvolge tutti i dipendenti nel controllo dei reati offre protezione della reputazione aziendale attraverso la possibile gestione interna delle irregolarità. 9