BUSINESS COMPLIANCE HUB Governance, Advisory & Reporting ANNO 2018

Transcript

1 BUSINESS COMPLIANCE HUB ANNO

2 Strategia, innovazione e finanza. Questi i tre elementi fondanti le attività del CeTIF Il Centro di Ricerca su Tecnologie, Innovazione e Servizi Finanziari (CeTIF) dal 1990 realizza studi e promuove ricerche sulle dinamiche di cambiamento strategico e organizzativo nei settori finanziario, bancario e assicurativo. Ogni anno CeTIF attiva più di 15 strutture di ricerca, quali Competence Centre e Osservatori, cui possono partecipare gli oltre professionisti che sono parte del network e organizza oltre 10 workshop dedicati a banche assicurazioni e aziende non finanziarie con l obiettivo di favorire fra i partecipanti lo scambio di esperienze e l adozione di pratiche innovative. Le attività di ricerca si focalizzano principalmente sugli effetti dello sviluppo di nuove strategie, sull innovazione normativa, sull approfondimento di prassi organizzative e di processo e sugli effetti dell introduzione dell innovazione tecnologica. Tra i partner istituzionali di CeTIF figurano: Banca d Italia, IVASS, ABI, ANBP, ANIA, AIPB e CONSOB. In seno a CeTIF è stato costituito il CEFIRS - Centre for European Financial Regulations Studies - un Osservatorio Permanente sulla regolamentazione nel settore finanziario, bancario e assicurativo. Inoltre è presente la struttura CeTIF Academy, scuola di Alta Formazione Universitaria, che si pone l'obiettivo di trasferire ai top e middle manager le conoscenze sviluppate in oltre vent anni di ricerca. CeTIF - Università Cattolica Via San Vittore, Milano Tel Fax cetif@unicatt.it

3 BUSINESS COMPLIANCE HUB ANNO 2018 AUTORI: Chiara Frigerio William Andrea Marenaci Federico Rajola Clelia Tosi Pubblicato nel mese di dicembre 2018 Copyright CeTIF. Tutti i diritti riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione di CeTIF. DISCLAIMER: CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto. Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni. 3

4 INDICE DEI CONTENUTI 1 GOVERNANCE, ADVISORY & REPORTING: L EVOLUZIONE NORMATIVA IN MATERIA DI GOVERNANCE BANCARIA E ASSICURATIVA PREMESSA IL REGOLAMENTO IVASS N. 38/2018, LA SISTEMATIZZAZIONE DELLA DISCIPLINA IN MATERIA DI GOVERNANCE ASSICURATIVA IL CONDUCT RISK, LA RISK CULTURE E GLI IMPATTI SULLA FUNZIONE COMPLIANCE DELLE BANCHE 10 2 REPORTING INTEGRATO E CONINUOUS MONITORING TRA RISCHI E OPPORTUNITA I PRINCIPALI RISCHI NELLA PREDISPOSIZIONE DI UN COMPLIANCE RISK REPORT E LE OPPORTUNITA DEL REPORTING INTEGRATO E DEL CONTINUOUS MONITORING 13 3 FOCUS ON REGTECH CARATTERISTICHE E AMBITI DI APPLICAZIONE DEL REGTECH 17 4 CONCLUSIONI Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

5 PARTECIPANTI Il presente documento è frutto di una collaborazione congiunta tra CeTIF e operatori del mondo bancario e assicurativo. Hanno partecipato ai tavoli di lavoro dell HUB: Allianz, Allianz Bank, Assimoco, AXA Assicurazioni, Banca Monte dei Paschi di Siena, BNP Paribas Cardif, BPER Banca, Reale Mutua Assicurazioni, UBI Banca, Unicredit, UnipolSai Assicurazioni. Le informazioni e i dati contenuti in questo documento fanno riferimento a rilevazioni avvenute nel periodo settembre novembre

6 1 GOVERNANCE, ADVISORY & REPORTING: L EVOLUZIONE NORMATIVA IN MATERIA DI GOVERNANCE BANCARIA E ASSICURATIVA 1.1 PREMESSA Nel contesto dello sviluppo e dell evoluzione della funzione Compliance, all interno delle banche e delle imprese di assicurazione, orientate verso il nuovo paradigma della Compliance 4.0, sia sotto il profilo di carattere normativo, sia sotto quello dell analisi e del controllo dei dati, assumono particolare rilievo le novità normative in materia di Governance e Reporting, con una doverosa attenzione agli aspetti critici legati alla gestione dei flussi informativi, nonché alla reportistica verso le Autorità di Vigilanza e alla Data Governance. L approfondimento dei driver della Compliance 4.0, già oggetto di studio durante il secondo Stream di ricerca, incentrata sulla conoscenza olistica del cliente, lo sviluppo di nuove competenze all interno della funzione, l utilizzo della tecnologia a supporto della funzione ( RegTech ) e della relazione con le Autorità, ha dato particolare evidenza al tema della Data Governance. Questa evoluzione determina inevitabilmente un cambiamento culturale, all interno della funzione Compliance cosa che potrebbe comportare un avvicinamento ad un approccio risk and data based, tipico di un altra funzione di controllo: il Risk Management. Partendo da queste tematiche, il gruppo di lavoro del III Stream di ricerca del Business Compliance HUB 2018 nei mesi di settembre, ottobre e novembre, composto da 12 Istituzioni Finanziarie e coordinato da CeTIF, si è posto l obiettivo di focalizzare l attenzione sulle progettualità sperimentate o in corso di sperimentazione, nonché di indagare sugli scenari metodologici e di processo e sulle sfide organizzative che ruotano intorno alle funzioni di Compliance, con particolare attenzione alla Governance. 6 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

7 Alla base della centralità della Data Governance risultano esserci due differenti spinte, una di carattere normativo ed una di carattere tecnologico, che consentano un monitoraggio continuo dei rischi e delle attività. Le dinamiche relative al Reporting Integrato rappresentano un campo di confronto interessante, al fine di comprendere le progettualità future degli Intermediari Finanziari e le risposte alle nuove sfide che la funzione Compliance sarà chiamata ad affrontare. Figura 1.1 Relazioni e abilitatori tra la Compliance e gli altri stakeholder Elaborazione CeTIF 2018 Sotto questo punto di vista, si rende necessaria una revisione critica delle relazioni e degli abilitatori tra la funzione Compliance e gli altri stakeholder, ossia l Autorità di Vigilanza, le altre funzioni di controllo e il business e gli organi di vertice. Le relazioni con le Autorità di Vigilanza, particolarmente attente ai temi del Reporting e del monitoraggio continuo, e le altre funzioni di controllo sono guidate dai temi del risk approach e del data driven approach. Sempre più di frequente in letteratura si parla del fenomeno SupTech, ossia della tecnologia, applicata alle attività di supervisione e di controllo, come fattore abilitatore, alla luce della marcata esigenza di possedere nuovi dati, di analizzarli in maniera più granulare e di espanderne il perimetro, con l obiettivo di avere report real time. A tal fine, un supporto particolarmente importante per le Autorità può essere rappresentato dagli Advanced Analytics, ossia da quelle tecnologie che possano aumentare l efficacia e l efficienza operativa, l automazione della normativa e l attenzione sul dato. 7

8 Nella relazione con il business e gli organi apicali, sussiste una forte necessità, da parte della funzione Compliance, di diffondere la cultura del controllo interno e di svolgere un attività di advising, purché si comprenda il corretto significato del concetto di advisory e si definiscano i confini operativi della funzione. L utilizzo della tecnologia in ambito Compliance implica un passaggio da un template approach a un data input approach, caratterizzato da rischi e benefici. Infatti, se da un lato si riscontrano criticità legate a potenziali cyberattack, a fallimenti delle procedure automatizzate, a particolari rischi nella gestione dei dati da parte di terze parti, a un maggior controllo della bontà dei processi decisionali e automatizzati, nonché a una maggiore intrusività delle Autorità, dall altro lato, si registrano importanti benefici. Questi vanno dalla riduzione delle tempistiche di richiesta del dato, alla semplificazione delle procedure, per finire, mediante un approccio forward looking, alla predittività ed all integrazione delle informazioni, determinando un miglioramento della qualità del lavoro degli operatori. In tale contesto, le crescenti esigenze di costruire sinergie operative tra le funzioni di controllo, di avere una granularità e specificità del controllo stesso e di individuare KRI condivisi ed integrati, consentono di ipotizzare un ripensamento del sistema dei controlli interni, con l obiettivo di configurare un evoluzione dei tre livelli di controllo. Infatti, alcune disposizioni normative, l evoluzione del mercato e le richieste provenienti dal business e dagli organi di vertice impongono la lettura critica di una logica che potremmo considerare, probabilmente, ormai superata. 8 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

9 1.2 IL REGOLAMENTO IVASS N. 38/2018, LA SISTEMATIZZAZIONE DELLA DISCIPLINA IN MATERIA DI GOVERNANCE ASSICURATIVA L esigenza di sviluppare alcune riflessioni nell ambito dell impianto regolamentare del sistema di Governance delle imprese di assicurazione e delle banche, rende necessario un approfondimento sui principali impatti che le disposizioni normative e regolamentari hanno determinato, sui sistemi di Governance, e sulle novità che hanno introdotto. Il Regolamento IVASS n. 38/2018, che contiene le nuove disposizioni regolamentari in materia di sistema di governo societario delle imprese di assicurazione, ha sancito il completamento del processo di adeguamento alle disposizioni della Direttiva Europea Solvency II e la compliance alle Linee Guida EIOPA, sul sistema di Governance, tenendo conto della concreta declinazione del principio di proporzionalità, a seconda del profilo di rischiosità dell impresa. Tra gli obiettivi del Regolamento emerge il rafforzamento della centralità e dei compiti propri dell organo amministrativo, in particolare con riguardo alla definizione e all approvazione di una politica di Data Governance, inclusi i profili di Data Quality, con aspetti di dettaglio sulla cybersecurity, in linea con l evoluzione dei sistemi informatici e con l esigenza di garantire il mantenimento di un architettura complessiva dei sistemi integrata, sicura e adeguata ai bisogni dell impresa. Relativamente ai compiti della funzione Compliance, l Autorità si è focalizzata sul ruolo della funzione in relazione alla valutazione di adeguatezza dell organizzazione e delle procedure interne per l identificazione e la valutazione del rischio di non conformità. In questo senso, risulta fondamentale la prestazione di un attività di supporto e di consulenza agli organi sociali e alle altre funzioni aziendali, sulle materie per cui assume rilievo il rischio di non conformità, con particolare riferimento alla progettazione dei prodotti. Nello studio e nella valutazione della disciplina del sistema di governo societario, in particolare del sistema dei controlli interni, particolarmente interessante appare la regolamentazione della cultura del controllo interno ( risk culture ), sulla scorta degli spunti forniti dai documenti del Financial Stability Board, al fine di identificare, gestire e prevenire il misconduct risk. In tale ambito un ruolo importante è affidato all organo amministrativo, chiamato alla promozione di un alto livello di integrità e di cultura del controllo interno, al fine di sensibilizzare l intero personale sull importanza e sull utilità dei controlli interni a presidio dei rischi. 9

10 1.3. IL CONDUCT RISK, LA RISK CULTURE E GLI IMPATTI SULLA FUNZIONE COMPLIANCE DELLE BANCHE I temi del conduct risk e della risk culture, con riguardo agli impatti che possono avere sull attività di Compliance, sono diventati centrali. Prova ne è stata la pubblicazione da parte del Financial Stability Board, su mandato del G-20, di tre documenti, di cui uno dedicato al conduct risk e gli altri due alla Governance. Prima dell intervento del Financial Stability Board, la nozione di conduct risk è stata oggetto di regolamentazione in relazione allo SREP, nell ambito del quale il rischio in questione è stato riconosciuto come il principale rischio operativo. Il conduct risk si caratterizza per avere una doppia anima con un inevitabile riflesso sulla classificazione che dello stesso viene proposta. Se da un lato, infatti, si è d accordo nel farlo coincidere con il compliance risk, dall altro ci sono considerazioni per le quali si ritiene che non sia completamente ricompreso nel compliance risk, in quanto il rischio derivante da comportamenti scorretti si configura anche quando non venga violata una norma di legge, da parte di coloro che operano all interno di un Istituzione Finanziaria. Sotto quest ultimo angolo visuale, il conduct risk potrebbe riguardare i codici etici e la corporate culture, quindi diventare un tema di risk culture. In tal senso, risulta particolarmente interessante il focus realizzato dall EBA con le Linee Guida in materia di Internal Governance del 26 settembre Nella definizione del conduct risk assume così un rilievo fondamentale il riferimento agli standard attesi, intesi certamente come standard normativi, ma anche come standard che non trovano un diretto ancoraggio alle disposizioni legislative e regolamentari. Di conseguenza la parte del conduct risk che fa riferimento alla risk culture, ossia ai valori da rispettare, rappresenta, oltre che un rischio di incorrere in sanzioni, anche un rischio reputazionale. Il tema del conduct risk consente di elaborare un ultima riflessione sulle sanzioni irrogate nei confronti delle Istituzioni Finanziarie, risultate essere, a seguito di tre studi differenti realizzati su mandato del Parlamento Europeo, particolarmente elevate. D altra parte, a condotte misconduct non basta rispondere esclusivamente attraverso le sanzioni: sarà importante assumere un approccio preventivo nei confronti del conduct risk, spostando l attenzione dalla sanzione alla prevenzione e ponendo al centro la Governance, al fine di individuare quali aspetti della stessa siano in grado di consentire una prevenzione efficace dei comportamenti misconduct. Se da un lato, sono le regole di remunerazione a rappresentare un aspetto di mitigazione del conduct risk, dall altro è la disciplina della Product Oversight Governance ad aver fornito uno strumento per rafforzare la prevenzione del rischio, lasciando comunque aperto il tema della misurazione dello stesso nell ambito del RAF. 10 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

11 2 REPORTING INTEGRATO E CONINUOUS MONITORING TRA RISCHI E OPPORTUNITA Avere dati accurati, completi e disponibili in tempi rapidi risulta fondamentale al fine di implementare un efficace ed efficiente gestione dei rischi e garantire che il board riceva le informazioni appropriate per assumere decisioni adeguate in relazione ai rischi che l istituzione finanziaria è chiamata a presidiare. Un adeguata aggregazione dei dati di rischio è fondamentale al fine di migliorare l efficienza del controllo di rischi e la reportistica delle informazioni, nello specifico di quelle utilizzate dagli organi di vertice per individuare, monitorare e gestire i rischi. A tal proposito il Compliance Risk Reporting, secondo alcune linee guida consolidate all interno delle Istituzioni Finanziarie, è necessario che risponda: alla necessità di conoscenza, da parte degli organi aziendali e delle Autorità di Vigilanza, circa le attività di programmazione e rendicontazione della funzione Compliance; a finalità di controllo e gestione del rischio; alla necessità di supporto al processo decisionale, su eventuali azioni correttive da intraprendere in presenza di situazioni di rischio rilevanti. Pertanto, si rende necessaria una riprogettazione della reportistica in funzione dei perimetri normativi gestiti, tenendo conto della seguente classificazione: 1) reporting obbligatorio, che riguarda le reportistiche di natura obbligatoria, necessitate dalle norme di legge o regolamentari esterne, che disciplinano i processi e le attività della funzione Compliance; 2) reporting gestionale, che si rivolge a report di natura gestionale disciplinati dalle normative aziendali; 3) reporting a richiesta, nell ambito del quale si inseriscono le reportistiche richieste dagli Organi Aziendali delle Società in perimetro e/o dalle Autorità Esterne di Vigilanza su tematiche dove sono ritenute necessarie specifiche attività di controllo; 4) reporting ad evento, che include i report utilizzati a seguito di violazioni o carenze rilevanti nell operatività aziendale. 11

12 Perché i report realizzino gli obiettivi ai quali sono sottesi e contengano, quindi, i contenuti corretti, è utile che rispettino una serie di regole ricondotte a quanto disposto dal Comitato di Basilea nel documento Principles for effective risk data aggregation and data reporting del Gennaio 2013: un reporting efficace, oltre ad essere ragionato ed automatizzato, postula un importante ed efficace qualità del dato e dell informazione. Pertanto le principali caratteristiche del reporting sono: accuratezza: l Istituzione Finanziaria stabilisce processi e requisiti definiti per realizzare il giusto equilibrio tra i dati di rischio quantitativi e le analisi o le valutazioni e le interpretazioni qualitative, a supporto del processo decisionale degli Organi di Vertice in materia di rischio di non conformità. A tal fine si rende necessario un alto livello di automatizzazione al fine di ridurre il rischio di errori; esaustività: la reportistica copre tutte le aree di rischio presenti all interno dell Istituzione Finanziaria, ricomprese nel perimetro della funzione Compliance, in relazione alla dimensione, alla complessità ed al profilo di rischio dell Istituzione; chiarezza e utilità: la reportistica comunica informazioni in modo chiaro e sintetico. I report dovrebbero essere facili da comprendere, ma completi abbastanza per facilitare il processo decisionale informato; periodicità: il Consiglio di Amministrazione e l'alta Dirigenza (o altri destinatari, a seconda dei casi) stabiliscono la frequenza della produzione e della distribuzione dei report. I requisiti di frequenza dovrebbero riflettere le esigenze dei destinatari, la natura del rischio segnalato e la velocità, alla quale il rischio può cambiare, così come l'importanza delle relazioni nel contribuire a una sana gestione dei rischi e ad un efficace ed efficiente processo decisionale, all interno dell Istituzione Finanziaria. diffusione: i report sono distribuiti alle parti interessate, pur garantendo la riservatezza. 12 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

13 2.1 I PRINCIPALI RISCHI NELLA PREDISPOSIZIONE DI UN COMPLIANCE RISK REPORT E LE OPPORTUNITA DEL REPORTING INTEGRATO E DEL CONTINUOUS MONITORING La mancanza di un modello standard, quindi di un preliminare studio e progetto del report, e la manualità eccessiva, con la trascrizione di dati e di informazioni provenienti da diverse fonti, rappresentano i rischi più comuni nella stesura di un Compliance Risk Report. Questo si traduce inevitabilmente in un aumento dei rischi operativi significativi. Tuttavia, intorno al processo di reporting, gravitano altri rischi che riguardano innanzitutto la mancanza di un coordinamento, tra le metodologie adottate ed i processi, che assicuri il rispetto degli standard definiti e la correttezza, la completezza e la coerenza delle informazioni fornite agli organi apicali. A questa tipologia di rischio si associa anche una mancanza di gerarchizzazione delle informazioni, che potrebbe determinare l assenza di attenzione su elementi particolarmente rilevanti nella valutazione dei rischi e un allineamento tra elementi di rischi marginali ed elementi di rischio significativi. Un rischio di questo tipo risulta particolarmente elevato quando i report non si caratterizzano per sinteticità, le informazioni contenute all interno sono eccessive, rispetto agli obiettivi, e non presentano coerenza con le caratteristiche dei soggetti destinatari. Alla luce delle regole necessarie per predisporre un Compliance Risk Report efficace e dei possibili rischi che possono emergere, affiorano particolari esigenze di maggiore automatizzazione e di elevata qualità del dato, per evitare le frequenti attività manuali che vengono poste in essere per assolvere ai diversi e numerosi compiti cui la funzione Compliance è chiamata. In questo senso anche un Executive Summary, con focus verticali sui principali profili di rischiosità per sfuggire all indicazione di informazioni ridondanti e ripetizioni continue delle stesse, può rappresentare un valido strumento a disposizione della funzione. Sotto questo angolo visuale, standardizzare, ingegnerizzare e automatizzare i dati e le informazioni, che vengono analizzate e valutate, significa procedere verso processi di condivisione dei dati e delle informazioni, avere report integrati da sottoporre agli organi di vertice, i quali richiedono con maggiore frequenza una overview sui rischi, per procedere in un secondo momento alla valutazione degli elementi di maggiore rischiosità e più significativi. La stesura di report integrati, tuttavia, può presentare alcune criticità sotto il profilo della ricezione, in tempi particolarmente brevi, di dati di qualità: il fattore umano, in questo senso, rappresenta una criticità in relazione alla soggettività della valutazione stessa. L integrazione rappresenta, senza dubbio, un percorso per tappe, che può passare dall utilizzo di KRI condivisi ed integrati, che però andranno letti distintamente sotto 13

14 il profilo dei processi e sotto quello dei rischi, al fine di avere un indicatore unico dei rischi che inevitabilmente necessiterà di un compromesso metodologico, di un dialogo tra le funzioni per stabilire linguaggi, metodologie ed esperienze comuni. Il percorso può, tuttavia, essere impervio a causa delle differenze, desumibili dalle normative, tra i diversi driver utilizzati dalle funzioni aziendali, che fa sì che non vi sia una vista integrata a parità di fenomeno. Basti pensare, ad esempio, all Operational Risk, che si focalizza sulle linee di business, o alla Compliance, la cui attenzione è concentrata sulla normativa, per finire all Audit che ha, come driver, i processi. Il Reporting Integrato postula un approccio che si sostanzia nell implementazione di strumenti di Continuous Monitoring, in grado di abilitare, da una parte, l individuazione e la prevenzione dei rischi emergenti e, dall altra, il miglioramento delle performance dei sistemi di reporting attuali, in un contesto nel quale stanno crescendo notevolmente i rischi emergenti, le attività ed i costi di Compliance. Un monitoraggio continuo ed efficace necessita di un coordinamento tra diversi fattori chiave: la tecnologia, l implementazione di nuovi processi o l ottimizzazione di quelli attuali, il controllo dei rischi, l organizzazione e le risorse. Figura 2.1 I fattori abilitanti del Continuous Monitoring Elaborazione CeTIF 2018 Il Continuous Monitoring si sviluppa con l obiettivo di illustrare molto velocemente e con estrema accuratezza gli ambiti nei quali risulta necessario focalizzare l attenzione, migliorare i processi, implementare azioni correttive, gestire i rischi o lanciare iniziative finalizzate a migliorare gli obiettivi dell Istituzione Finanziaria. In tal senso, il Continuous 14 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

15 Monitoring rappresenta un processo automatico in grado di valutare l effettività dei controlli e individuare i principali profili di rischio, nonché di migliorare i processi di business e le attività con riguardo agli standard etici e di compliance. Il tema della cultura assume, senza dubbio, un ruolo nevralgico nello scacchiere del complesso sistema dei controlli interno: assurge infatti a un ruolo di catalizzatore nei processi di reporting e monitoring, in quanto la reportistica riguarda tutte le funzioni aziendali, che devono essere sensibilizzate e coinvolte, affinché l esposizione e l illustrazione dei report vengano percepite come importanti all interno dell Istituzione Finanziaria. In questo senso quello del Compliance Manager rappresenta un ruolo fondamentale nella sensibilizzazione delle prime linee, che devono essere coinvolte a 360 gradi nella realizzazione dei Compliance Risk Report. Un maggiore impegno da parte del management, nel processo di costituzione di una Compliance Data Driven, che passa dall utilizzo di strumenti predittivi e da quello dei dati, in questo senso può determinare una spinta significativa, nonostante emergano importanti criticità che sarà necessario risolvere, per completare il processo di ripensamento del reporting e, in generale, delle attività di monitoraggio e di controllo della funzione Compliance. Queste attengono alla mancanza di sufficienti investimenti; alla formazione ed al capitale umano, quindi alla necessità di avere all interno delle Istituzioni nuove competenze; alla mancanza di un database unico, al quale tutte le funzioni possano accedere per utilizzare i dati e le informazioni (c.d. Big Financial Data), purché venga sconfitta la gelosia delle informazioni, che dovrebbero essere oggetto di condivisione tra tutte le funzioni di controllo. 15

16 3 FOCUS ON REGTECH La nozione Regulatory Technology si riferisce all utilizzo della tecnologia per affrontare le complessità derivanti dal quadro legislativo e regolamentare di riferimento. La Financial Conduct Authority, prima Autorità di Vigilanza a interessarsi al tema, ha sottolineato che quelle sviluppate dalle imprese RegTech sono <<tecnologie che potrebbero facilitare l adeguamento ai requisiti normativi con maggiore efficienza e efficacia rispetto alle soluzioni esistenti>>. Lungi dal considerare il RegTech una costola del FinTech, è importante evidenziare quanto l uso della tecnologia, nell ambito dei processi di reporting e della compliance alle disposizioni normative vigenti, rappresenti la più importante opportunità nel FinTech. L incremento della complessità normativa e delle sanzioni, irrogate nei confronti delle Istituzioni Finanziarie considerate a livello globale, hanno determinato un forte impulso all utilizzo di processi automatici e di nuove tecnologie, che siano in grado di ridurre drasticamente i crescenti costi di compliance che le Istituzioni Finanziarie sono chiamate ad affrontare. Secondo una rielaborazione di CeTIF, tuttavia non esaustiva, si stima che entro il 2020 saranno pubblicate più di pagine di documenti normativi e che i costi in compliance e in obblighi normativi annuali delle banche risultino pari a 270 miliardi di dollari, con il % delle risorse destinato alla funzione Compliance. Sul fronte delle sanzioni, invece, entro il 2020 queste ammonteranno a 400 miliardi di dollari. Figura 3 Il numero totale di pubblicazioni normative tra il 2008 e il 2016 a livello globale Rielaborazione CeTIF Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

17 3.1 CARATTERISTICHE E AMBITI DI APPLICAZIONE DEL REGTECH La necessità di analizzare e gestire dati non strutturati, generati da funzioni aziendali disconnesse, la presenza di processi inefficienti e la mancanza di standardizzazione comportano significative spese in termini di risorse per la raccolta e l'organizzazione dei dati stessi. Gli analisti oggi trascorrono il 90% del loro tempo per la raccolta e l'organizzazione dei dati e solo il 10% per la loro analisi. Le implementazioni RegTech consentirebbero di generare e configurare velocemente i report, grazie alla velocità di analisi e alla possibilità di estrarre valore dai dati, altrimenti privi di significato e di utilità concreta. Inoltre l agilità nell organizzare i data set non integrati e/o strutturati, che possono essere combinati e analizzati, rappresenta una delle caratteristiche principali insieme alla capacità di analisi, ossia all utilizzo di strumenti analitici per minare in modo intelligente grandi quantità di dati e sbloccare il loro vero potenziale, utilizzando, ad esempio, gli stessi dati per più scopi, e all integrabilità con i sistemi aziendali al fine di ridurre i tempi di implementazione. Figura RegTech: tra rischi, automazione e nuovi approcci Elaborazione CeTIF Lighthouse 2018 Le aree tecnologiche all interno delle quali si stanno sviluppando le diverse esperienze RegTech sono diverse e coinvolgono: le API (Application Programming Interface): soluzioni software che consentono, offthe-shelf, di automatizzare la condivisione dei dati e di consentire l interoperabilità tra software diversi; i Big Data: strumenti di elaborazione real time in grado di creare valore dalla massiccia quantità di dati eterogenei e testuali disponibili; 17

18 il Machine Learning: tecnologia che apprende dai dati e consente la rivalutazione automatica e il perfezionamento del processo in risposta agli input degli utenti; il Cloud Computing: piattaforma aperta che consente di archiviare, gestire e condividere, con più soggetti, enormi quantità di dati; il Cognitive Computing: software che consente di automatizzare i processi di controllo nell ambito dell antiriciclaggio; la Predictive Analysis: soluzioni che cercano di identificare i modelli di attività, come l uso insolito delle comunicazioni o il mancato completamento della formazione, che possono determinare potenziali problemi di condotta. Le articolazioni del RegTech sono diverse e possono investire diversi segmenti, tra cui quello delle Autorità di Vigilanza, particolarmente attente ai benefici che la tecnologia può portare nell ambito dei processi di supervisione, per poter svolgere l attività in modo più efficace. In questo senso si registra positivamente lo sviluppo del Supervisory Technology o SupTech. A questo riguardo appare pertinente il riferimento al Principio 9, contenuto all interno del Core Principles for Effective Banking Supervision del Comitato di Basilea, che fa riferimento all utilizzo da parte dei supervisori di una <<gamma appropriata di metodi e strumenti per dare applicazione all approccio prudenziale e fa uso delle risorse prudenziali in modo proporzionale, commisurato al profilo di rischio e alla rilevanza sistemica delle banche>>. Sotto questo angolo visuale, l utilizzo della tecnologia si pone come una delle cause di un attività di vigilanza sempre più orientata ad una logica data driven e forward looking. A seguito di una rielaborazione di dati di sistema, è emerso che a livello globale le compagnie RegTech sono 820 e le soluzioni che offrono coprono diversi e numerosi impianti legislativi e regolamentari, come quelli sull antiriciclaggio (AML) e sulla Know Your Customer (KYC) e sul GDPR, nell ambito dei quali nel 2018 si sono impegnate il maggior numero delle imprese RegTech. Figura Le compagnie RegTech nel Mondo Rielaborazione CeTIF Lighthouse Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

19 I principali ambiti di applicazione sono: il Regulatory Reporting, per la distribuzione automatizzata di dati e informazioni a supporto delle dettagliate e sempre più analitiche attività di reporting richieste dalle Autorità regolamentari (BCE o Autorità di Vigilanza locali). Le tecnologie alla base includono motori di analisi di dati e di real time reporting. La Compliance, per il monitoraggio e il tracking real time della Compliance e degli aggiornamenti regolamentari. Il Transaction Monitoring, per il monitoraggio in real time delle attività di negoziazione. Il Risk Management, per l individuazione dei rischi da Compliance e per la valutazione dei livelli di esposizione a rischi e minacce future. L Identity Management & Controls/KYC, per il supporto alle procedure di Due Diligence e Know Your Customer (KYC), in relazione alle attività di antiriciclaggio e antifrode. Il RegTech rappresenta una delle più grandi opportunità all interno del FinTech, soprattutto per dare impulso ai sempre più necessari interventi di automatizzazione e digitalizzazione dei processi, per gestire i rischi, in particolare quelli operativi, che la funzione Compliance, e in generale le Istituzioni Finanziarie, sono chiamati quotidianamente ad affrontare. Si rende necessario, tuttavia, fare un breve excursus su quelli che possono essere i principali rischi derivanti dall utilizzo della tecnologia nei processi di Compliance, tra i quali uno dei principali è rappresentato dalla sicurezza informatica, che può essere messa a repentaglio da eventuali cyber attack. Infine, non trascurabile appare il rischio legato alla necessità di spostarsi verso soluzioni tecnologiche muovendo da sistemi tradizionali. L acquisizione di risorse e competenze specifiche potrà essere, quindi, uno dei passaggi fondamentali verso un approccio digital based della funzione. 19

20 4 CONCLUSIONI La ricerca di CeTIF, condotta nei mesi di settembre, ottobre e novembre 2018, ha focalizzato l attenzione su un importante aspetto che, per ragioni da ricondurre sia ad aspetti legati alle disposizioni legislative e regolamentari, sia all evoluzione tecnologica, riguarda la funzione Compliance all interno delle banche e delle imprese di assicurazione e, più in generale, il sistema dei controlli interni tout court: la Data Governance. Come ampiamente rilevato, la stessa assume un ruolo nevralgico, in particolare nell ambito del monitoraggio nel continuo dei rischi e delle attività e del reporting integrato, che si rende sempre più necessario al fine di semplificare e rendere, tuttavia, più efficaci ed efficienti l attività di controllo da parte della funzione e, soprattutto, e il governo delle relazioni tra la compliance e le altre funzioni di controllo e gli organi apicali. Il percorso verso una Compliance 4.0, oggetto di studio ed approfondimento nell ambito della ricerca condotta dal Business Compliance HUB 2018, in grado di utilizzare tutti i driver che la caratterizzano, risulta in pieno sviluppo. Sarà importante, nel medio lungo periodo, analizzare, in un ottica evolutiva, gli aspetti maggiormente significativi legati all incremento dell utilizzo delle nuove tecnologie a supporto della funzione. In questa prospettiva, la ricerca nel 2019 (Digital Compliance HUB) svilupperà le direttrici e le linee guida di un processo di evoluzione, che conduca ad una visione più integrata di tutte le funzioni di controllo. A tal fine, risulta fondamentale individuare maggiori sinergie operative tra le funzioni, nel contesto di un ormai necessario, e probabilmente indispensabile, ripensamento dei tre livelli di controllo che, partendo da una granularità e specificità del controllo, e passando da KRI condivisi, garantisca, da una parte, un adeguato, corretto e coerente allineamento delle metodologie, dei processi e degli strumenti, dall altra, una maggiore dialettica tra le funzioni di controllo e gli organi aziendali, imprescindibile ai fini di una corretta conoscenza, e di una conseguente mitigazione e gestione dei rischi aziendali. 20 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento

21 CeTIF ringrazia tutti i relatori e tutti i partecipanti per la loro presenza attiva ai lavori dell HUB e per il contributo prezioso che hanno dato alla riflessione che vi è stata condotta. 21

22 22 Copyright CeTIF Tutti i diritti riservati. È vietata la riproduzione anche parziale del presente documento