Costituzione, avvio e gestione della funzione Compliance: metodologie e strumenti per Intermediari Finanziari. dicembre 2008

Transcript

1 Costituzione, avvio e gestione della funzione Compliance: metodologie e strumenti per Intermediari Finanziari dicembre 2008

2 Il Gruppo Engineering e Nexen _ 800 clienti oltre 700 M/ di ricavi specialisti IT Il numero 1 in Italia nel settore software e servizi L unico operatore con un offerta integrata in progetti, servizi, consulenza e prodotti Un player internazionale nel settore IT: Services Consulting Solutions Outsourcing Communication IT Consulting Application Program e Project Management Management Competence Center Solution Build Solution Management Service Model Business Process Outsourcing Management Consulting IT Outsourcing System e Business Internal auditing e Integration compliance La Divisione Finance presenta un offerta integrata su tutte le dimensioni. CETIF - Dicembre 2008 p.2

3 Nexen: la Società di consulenza del Gruppo E la Società di consulenza aziendale del Gruppo Conta circa 100 professionisti Opera prevalentemente nel settore finanziario, presso i Grandi Gruppi così come presso piccole realtà E partner di ABI nella gestione del sistema ABICS per la Compliance CETIF - Dicembre 2008 p.3

4 Contesto di riferimento Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina). ( Disposizioni di Vigilanza relative alla funzione di conformità Banca d Italia 7/07) Le principali fonti normative della disciplina sono: Comitato di Basilea linee guida per le banche (ottobre 2003: the Compliance Function in Banks, aprile 2005: Compliance and the Compliance Function in banks) MiFID (Direttiva 2006/73/CE recante Modalità di esecuzione della Direttiva 2004/39/CE) Banca d Italia Disposizioni di Vigilanza del luglio 2007 Regolamento congiunto Banca d Italia-Consob del novembre 2007 Regolamento ISVAP in materia di Controlli interni n.20 del marzo 2008 CETIF - Dicembre 2008 p.4

5 Contesto di riferimento (segue) Le Disposizioni di Vigilanza in particolare dettano principi di carattere generale, volti a individuare le finalità e i principali compiti della funzione di conformità, riconoscendo nel contempo alle banche piena discrezionalità nella scelta delle soluzioni organizzative più idonee ed efficaci per realizzarli. L art. 12 del Regolamento congiunto, a sua volta, indica che gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità, di gestione del rischio dell impresa e di revisione interna. L art. 22 del Regolamento ISVAP prevede che le imprese si dotano, ad ogni livello aziendale pertinente, di specifici presidi volti a prevenire il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite patrimoniali o danni di reputazione, mentre l art. 23 statuisce che le imprese istituiscono una funzione di compliance, proporzionata alla natura, dimensione e complessità dell attività svolta. Le banche e gli intermediari finanziari in questi mesi si sono attivati per costituire la funzione e avviarne concretamente l operatività. CETIF - Dicembre 2008 p.5

6 I compiti della funzione Alla funzione di compliance sono assegnati tipicamente compiti di: Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di nuova emissione ) e nell analisi di impatto Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l applicazione di metodologie standard Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi Monitoraggio: rappresenta il controllo sull efficacia delle regole e delle procedure interne a presidio dei rischi Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi Formazione e Consulenza: si esplicita nell attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia. CETIF - Dicembre 2008 p.6

7 L avvio della funzione Considerata la novità della funzione, ma non dell attività, si pone come cruciale la tematica delle modalità con le quali l Intermediario definisce il processo di Compliance, identifica le relative responsabilità, trasferisce gradualmente alla funzione Compliance alcune di tali responsabilità. Tali aspetti dovranno confluire nel documento interno (il Mandato) richiesto dalla Vigilanza. In proposito sono individuabili due fasi, caratterizzate da obiettivi e ruoli differenti. FASE DI AVVIO: in fase iniziale la Compliance si trova ad operare in un contesto dove le normative sono già presidiate da funzioni aziendali diverse (es.: antiriciclaggio, privacy, 231/01, trasparenza, etc.). Obiettivo primario sarà quello di prendere in carico le normative che costituiranno il presidio diretto della funzione, avviare la definizione di metodologie per l individuazione e misurazione dei rischi di non conformità, in coerenza con le scelte aziendali in materia sia come approccio metodologico che come strumenti di supporto, costituire un supporto alle aree di business FASE A REGIME: la funzione Compliance, con confini di ruolo definiti dal Vertice aziendale, dovrà presidiare il Processo di Compliance (v. esempio a pag. seguente) garantendo il presidio costante del rischio e il supporto al processo decisionale in materia. Nel caso dei Gruppi, e maggior ragione di Gruppi multinazionali, a queste dimensioni si viene ad aggiungere la problematica del ruolo della funzione di Capogruppo rispetto a quelle delle Controllate. CETIF - Dicembre 2008 p.7

8 Il processo di Compliance Identificazione ed assessment delle normative Attuazione delle soluzioni organizzative Controllo e reporting Comunicazione, assistenza e formazione Fasi del processo Identificazione delle normative di riferimento Gestione delle evoluzioni normative Individuazione delle attività di Gruppo coinvolte Assessment del livello di compliance e definizione delle linee di intervento Predisposizione di linee guida/direttive in materia Predisposizione di politiche, procedure o regolamenti Sviluppo e rilascio di applicazioni informatiche Validazione delle soluzioni organizzative esempio Individuazione e misurazione dei rischi di compliance Verifica del rispetto delle prescrizioni normative Verifica della corretta attuazione degli interventi definiti Reporting al CdA Gestione contatti con Organi di Vigilanza e Autorità competenti Diffusione delle normative e dei documenti di pertinenza Consulenza alle strutture aziendali sull applicazione di norme e codici di comportamento Gestione segnalazioni di non compliance da parte delle strutture Formazione delle risorse CETIF - Dicembre 2008 p.8

9 Il percorso di attivazione della funzione Per la nostra esperienza l intermediario deve avviare la realizzazione delle seguenti fasi di lavoro, ciascuna delle quali viene dettagliata nelle pagine seguenti: 1 Definizione del processo e delle funzioni coinvolte. Definizione del perimetro normativo di presidio diretto e indiretto 3.2 Predisposizione del mandato della funzione, del Compliance Plan e degli SLA Avvio delle attività di Risk Mapping e Risk Assessment. Svolgimento delle altre attività assegnate 5 2 Definizione scelte metodologiche e strumenti di supporto 3.1 Software selection 4 Acquisizione/sviluppo delle soluzioni software e loro personalizzazione. Integrazione con altre esigenze (Operational Risk) e con il repository dei processi CETIF - Dicembre 2008 p.9

10 Fase 1: Definizione del processo e del perimetro Questa fase, di natura propedeutica, prevede lo svolgimento delle seguenti attività: Definizione del processo di compliance della Banca: si provvede a identificare i sottoprocessi, le fasi e le attività che caratterizzeranno il processo di compliance, elemento di partenza per assegnare ruoli e responsabilità (v. esempio precedente) Identificazione delle responsabilità sul processo: si esplicita nella condivisione della Matrice delle responsabilità (v. esempio a pagina seguente) che identifica le funzioni coinvolte nelle diverse fasi/attività e i relativi ruoli Definizione del perimetro normativo: si provvede a definire le normative di presidio diretto (ad esempio: Privacy; Market Abuse; D.Lgs. 231/01; Disciplina dei Servizi di investimento (MiFID); Antiriciclaggio; Trasparenza; Codice del Consumo) e indiretto della funzione (ad esempio L. 262/05 e normative collegate alla figura ed ai processi facenti capo al Dirigente Preposto; D.Lgs. 81/08 e norme in materia di tutela della salute e della sicurezza dei lavoratori; Information Technology e Business Continuity Management; diritto societario; diritto del lavoro) e i flussi informativi tra la funzione Compliance e le altre funzioni responsabili CETIF - Dicembre 2008 p.10

11 Fase 1: la matrice delle responsabilità SOTTOPROCESSO: IDENTIFICAZIONE ED ASSESSMENT DELLE NORMATIVE FASE Legale/Compli ance Organizzazione Controlli Interni Funzione specialistica ICT 1.1. Identificazione delle normative di riferimento 1.2. Gestione delle evoluzioni normative 1.3. Individuazione delle attività di Capogruppo/Gruppo coinvolte 1.4 Assessment del livello di compliance e definizione delle linee di intervento Responsabile Responsabile Responsabile Responsabile Collabora esempio Responsabile Collabora/Respo nsabile Collabora Collabora Collabora Collabora Collabora CETIF - Dicembre 2008 p.11

12 Fase 2: Definizione scelte metodologiche e strumenti Questa fase, anch essa di natura propedeutica, prevede lo svolgimento delle seguenti attività: Individuazione delle metodologie: si provvede a identificare le metodologie che la funzione utilizzerà per le prime attività di: assessment della presenza di rischi di non conformità lungo i processi (v. esempio a pag. seguente) associazione di attributi quali-quantitativi all incrocio rischio/processo (o rischio/attività) al fine di un primo assessment del livello di conformità scomposizione delle norme per un associazione a livello di dettato normativo tenendo conto del quadro degli strumenti già disponibili ed in particolare della tassonomia dei processi aziendali e del Repository Identificazione dei requisiti degli strumenti di supporto: in funzione degli orientamenti emersi nell attività precedente si potranno definire i requisiti che le applicazioni tecnologiche dovranno avere per rispettare le esigenze della Banca.. CETIF - Dicembre 2008 p.12

13 Fase 2: Risk Mapping Circolare ISVAP nr. PROCESSI DI UNDERWRITING ISVAP - POLICY ISSUANCE 551/D Disposizioni in materia di trasparenza dei contratti di assicurazione sulla vita Regolamento numero 5 del 16 Ottobre 2006 Decreto Legislativo 231 del 21 Novembre 2007 (Antiriciclaggio) VENDITA ED EMISSIONE DI PRODOTTI VITA COMPILAZIONE DELLA SCHEDA DI ADEGUATA VERIFICA DELLA CLIENTELA X CONSEGNA DELL'INFORMATIVA PRECONTRATTUALE X SOTTOPOSIZIONE DI QUESTIONARIO PER VALUTAZIONE ADEGUATEZZA CONTRATTO X INDIVIDUAZIONE PRODOTTI ADEGUATI PER IL CONTRAENTE X COMPILAZIONE DELLA PROPOSTA DI ASSICURAZIONE X X X INCASSO DEL PREMIO X X ARCHIVIAZIONE DELLA DOCUMENTAZIONE X esempio Privacy Codice Civile CETIF - Dicembre 2008 p.13

14 Fase 2: Risk Assessment PROCESSI Unità Org.va responsabile Tipologia di Reato Probabilità di accadimento (0-4) Descrizione della condotta illecita Frequenza di svolgimento dell'attività N addetti coinvolti Eventuali casi in passato Normativa di riferimento Enti Pubblici coinvolti Altre Funzioni coinvolte Eventuali soggetti esterni Controlli "interni" Efficacia dei controlli (1-3) Controlli esterni PROCESSI DIREZIONALI esempio PIANIFICAZIONE STRATEGICA CONTROLLO DI GESTIONE Direzione Generale Controllo di gestione Abuso di informazione privilegiata Abuso di informazione privilegiata CETIF - Dicembre 2008 p.14

15 Fase 3.1: Software selection A valle delle prime due fasi possono essere avviate in parallelo altre due fasi. La prima prevede lo svolgimento delle seguenti attività: Individuazione e scelta delle soluzioni software: Per quanto concerne il punto di arrivo del censimento dei rischi di non conformità occorre senz altro conside rare le opportunità derivanti dal repository dei processi (es.:aris v. esempio a pagina seguente). Esso tuttavia nel breve non sembra consentire un avvio rapido delle attività di Risk Mapping e Risk Assessment. Per questo motivo può essere valutato l utilizzo di un applicativo che possa consentire alla funzione, da subito, di presidiare globalmente i rischi, che possa dialogare con strumenti di Process Management e che sia anche in grado di evolvere verso un assessment unitario dei rischi operativi e di non conformità. In questa fase l intermediario dovrà valutare le alternative disponibili e effettuare le opportune scelte. CETIF - Dicembre 2008 p.15

16 Fase 3.1: il censimento dei rischi lungo il processo Rischio Associato esempio Attività che genera il rischio Oggetto Rischio Attività di controllo per mitigare il rischio CETIF - Dicembre 2008 p.16

17 Fase 3.1: la reportistica disponibile esempio CETIF - Dicembre 2008 p.17

18 Fase 3.2: Mandato della funzione e Compliance Plan La seconda fase prevede lo svolgimento delle seguenti attività: Redazione del Mandato della funzione compliance: a partire da quanto definito in fase 1 il documento di Mandato della funzione esplicita le responsabilità assegnate, le relazioni interfunzionali, i flussi informativi ed il reporting che la funzione deve garantire. In questa fase si provvede anche a predisporre e formalizzare gli Accordi di servizio interni, se ritenuti necessari, con indicazione delle attività affidate in outsourcing, dei livelli di servizio, etc. Redazione del Compliance Plan 2009: in parallelo alla redazione del Mandato la funzione dovrà redigere il Piano 2009 con indicazione delle attività previste in ordine alle diverse fasi del processo: identificazione normative, risk mapping e assessment, eventuale Self Assessment, verifiche periodiche MiFID, partecipazione a Comitati e Gruppi di progetto etc.. Il documento, deliberato dal CdA, costituirà il riferimento per la pianificazione delle attività 2009 delle risorse. CETIF - Dicembre 2008 p.18

19 Fase 4: Acquisizione e personalizzazione del software Questa fase, strettamente connessa alla 3.1, prevede lo svolgimento delle seguenti attività: Acquisizione e personalizzazione del software: sulla base della software selection si provvederà ad acquisire le applicazioni/personalizzarle o svilupparle Definizione delle integrazioni con il mondo Operational Risk e BPM: le attività di cui al punto precedente dovranno necessariamente essere coordinate con i possibili sviluppi metodologici e applicativi in ambito Operational Risk Management nonché con le opportunità fornite da ARIS o da analoghi strumenti, considerata la rilevante opportunità della disponibilità di un tracciato standard di processo cui associare i rischi e i controlli. CETIF - Dicembre 2008 p.19

20 Fase 5: Avvio delle attività Questa fase prevede lo svolgimento delle seguenti attività: Avvio delle attività di Risk Mapping e Risk Assessment: la funzione realizzerà le attività con le metodologie definite nelle fasi precedenti e gli strumenti selezionati. La realizzazione del Risk Mapping (censimento dei rischi di non conformità sui processi) ha natura prioritaria. In parallelo dovrà essere avviata un attività di assessment che potrà, da subito o in prospettiva, coincidere con l analisi dei rischi operativi dell Intermediario. Avvio delle attività previste dal Compliance Plan 2009: la funzione avvierà le attività assegnate (partecipazione a Comitati, Gruppi di lavoro, consulenza, verifiche, formazione, etc.) Questa fase contraddistingue i mesi iniziali di operatività della funzione con un impegno che potrà essere definito in funzione del Piano e del Capacity Plan della funzione (risorse, priorità, etc.) CETIF - Dicembre 2008 p.20

21 Le referenze nelle attività di compliance e controllo In tema di Compliance e Rischi operativi Nexen ha maturato numerose esperienze. Tra queste: Gruppo MPS: realizzazione e aggiornamento dei Modelli ex D.Lgs. 231/01 presso Capogruppo e Controllate. Integrazione dei rischi 231 nel framework Rischi operativi. Assistenza alla definizione e avvio della funzione di Compliance di Capogruppo ABI: sviluppo sistema ABICS e manutenzione reati 231. Stesura Libro Bianco Compliance. Docenza in corsi rivolti alla funzione Compliance su Processi e PM Cetif Università Cattolica: partecipazione all Osservatorio sulla Compliance 06, 07, 08. Zurich: reengineering della normativa interna e sviluppo del Repository dei processi BPM: individuazione dei rischi 231 lungo i processi e integrazione con la normativa interna UBI: sviluppo del Repository dei processi per la gestione dei rischi 262 e compliance CDP: assistenza alla redazione delle procedure e del Regolamento Antiriciclaggio BNL (gruppo): sviluppo del Repository dei processi per la gestione dei rischi 262 Federazione Lombarda delle BCC: realizzazione dei Modelli 231 presso le 48 banche socie, assistenza alla definizione della funzione Compliance di Federazione Varie realtà (Gruppo Veneto Banca, UBM, Banco Desio, numerose BCC, etc.): realizzazione del Modello organizzativo ex D.Lgs. 231/01, assistenza alla redazione della normativa e delle procedure Banca Antonveneta, Banca Esperia, etc.: assistenza alla definizione delle soluzioni organizzative e applicative in tema di Market Abuse Alcune banche minori: progetto Rischi operativi, avvio della funzione Compliance Findomestic Banca: Rischi Operativi - passaggio al metodo standard Alcune SGR e numerosi Intermediari ex art. 107 TUB: svolgimento in outsourcing della funzione di Internal Auditing o Compliance Manager. Predisposizione delle normative e procedure interne CETIF - Dicembre 2008 p.21