La gestione del rischio legale, reputazionale e strategico

Transcript

1 LA GESTIONE DEI RISCHI OPERATIVI E DEGLI ALTRI RISCHI La gestione del rischio legale, reputazionale e strategico Nicola d Auria TMF Compliance (Italy) 26 giugno Milano S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

2 Agenda S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

3 Agenda Alcune definizioni preliminari Ambito di riferimento Tipiche fattispecie di rischio legale e/o di compliance, reputazionale e strategico Metodologie di gestione 3

4 Alcune definizioni preliminari S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

5 Il rischio legale e/o di compliance Il rischio legale è generalmente definito come il rischio di perdite finanziarie connesso a controversie con la clientela, i fornitori ed ogni altra controparte cui l azienda sia legata da vincoli contrattuali Date le rilevanti sovrapposizioni che spesso si vengono a creare, tale rischio è in genere trattato congiuntamente al rischio di compliance (o di non conformità) 5

6 Il rischio legale e/o di compliance (segue) Nella normativa degli intermediari finanziari, il rischio di compliance è definito come il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina) 6

7 Il rischio reputazionale Nella normativa degli intermediari finanziari, il rischio reputazionale è definito come il rischio attuale o prospettico di flessione degli utili o del capitale derivante da una percezione negativa dell immagine [dell azienda] da parte di clienti, controparti, azionisti, investitori o autorità di vigilanza 7

8 Il rischio strategico Nella normativa degli intermediari finanziari, il rischio strategico è definito come il rischio attuale o prospettico di flessione degli utili o del capitale [dell azienda] derivante da cambiamenti del contesto operativo o da decisioni aziendali errate, attuazione inadeguata di decisioni, scarsa reattività a variazioni del contesto competitivo 8

9 Ambito di riferimento S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

10 Ambito di riferimento Rischi legali Rischi operativi in senso stretto Rischi di compliance Rischi reputazionali Rischi strategici 10

11 Tipiche fattispecie di rischio legale e/o di compliance, reputazionale e strategico S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

12 Esempi di rischio legale e/o di compliance Carente o inadeguato monitoraggio dell adeguatezza patrimoniale e del rispetto dei requisiti patrimoniali Mancata o inadeguata definizione/revisione delle policy e delle procedure richieste dalla normativa di riferimento Carente o inefficace adozione ed attuazione di misure a presidio delle situazioni di conflitto di interesse Errata o non conforme predisposizione di regolamenti, prospetti informativi, contrattualistica dei prodotti offerti Mancato rispetto della normativa antiriciclaggio (valutazione del rischio di riciclaggio, identificazione del cliente e del titolare effettivo, etc.) Mancato o non corretto assolvimento degli obblighi informativi in sede pre-contrattuale 12

13 Esempi di rischio legale e/o di compliance (segue) Mancata o non corretta effettuazione della valutazione di adeguatezza/appropriatezza dei servizi/prodotti offerti Mancato rispetto delle disposizioni normative in tema di periodo minimo di conservazione delle registrazioni Violazione dei limiti di investimento normativi e/o contrattuali Bilancio non redatto in conformità della normativa vigente, dei principi contabili e delle disposizioni interne Mancato assolvimento degli obblighi informativi verso gli organi di vigilanza Archivio Unico Informatico non istituito o non rispondente ai requisiti normativi e/o sua mancata o non corretta alimentazione Mancata o non adeguata adozione delle misure di sicurezza richieste dalla normativa sulla privacy 13

14 Esempi di rischio legale e/o di compliance (segue) Mancata o non tempestiva trattazione dei reclami ricevuti dalla clientela Mancata o non tempestiva trasmissione alla clientela dei rendiconti periodici e/o trasmissione alla clientela di rendiconti contenenti dati errati Servizi prestati dagli outsourcer non in linea con quanto definito negli accordi contrattuali con riferimento ai livelli di servizio Controversie con il personale ed eventuali richieste di risarcimento per demansionamenti, licenziamenti illegittimi, atti discriminatori, mobbing, etc. 14

15 Esempi di rischio reputazionale Rischio che l immagine della Società non venga curata in modo unitario e coerente con gli obiettivi aziendali Comunicazioni agli organi di vigilanza affette da ripetuti errori e/o ritardi, con conseguente rischio di ingenerare negli stessi la percezione di uno scarso presidio degli adempimenti di vigilanza informativa Carente o inadeguata gestione dei rapporti con gli organi di vigilanza, con conseguente rischio di deterioramento dell immagine della Società 15

16 Esempi di rischio strategico Definizione di un modello di controllo di gestione e di reportistica periodica inidoneo all assolvimento da parte dell alta direzione dei propri compiti di monitoraggio sull andamento aziendale Carente o inadeguata definizione da parte dell alta direzione del piano strategico pluriennale e del budget annuale Carente o inadeguata analisi dello stato di realizzazione del piano strategico e del budget e dei motivi di eventuali scostamenti rispetto a quanto programmato e/o carente o inadeguata definizione di azioni finalizzate a consentire la riduzione di eventuali scostamenti Carente o inadeguata analisi ed errata scelta dei processi e/o delle attività da esternalizzare Scelta di outsourcer inidonei alle esigenze operative aziendali e/o mancata definizione con gli stessi dei livelli di servizio concordati 16

17 Esempi di rischio strategico (segue) Carente o inadeguata definizione/revisione della struttura organizzativa, del sistema delle deleghe e dei poteri e/o del sistema dei flussi informativi aziendali Errata valutazione in merito al fabbisogno di personale Formulazione di proposte di inserimento di personale comportanti l assunzione di impegni, in particolare economici, non coerenti con il budget e il piano strategico Carente o inadeguata gestione del programma di copertura assicurativa, con rischio di possibili sovrapposizioni, mancanza di coperture, ambiguità delle clausole contrattuali, etc. Carente o inadeguata analisi della concorrenza e della clientela potenziale e/o carente o inadeguata definizione degli obiettivi commerciali 17

18 Metodologie di gestione S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO

19 Metodologie di gestione RCSA (Risk & Control Self-Assessment) consiste nel gestire i rischi in oggetto seguendo un approccio analogo a quello impiegato per i rischi operativi BS (Balanced Scorecard) consiste nel gestire i rischi in oggetto mediante il ricorso ad apposite schede finalizzate a valutare il livello di presidio sui principali fattori generatori di rischio 19

20 Esempio di BS per il rischio reputazionale Fattori di rischio reputazionale Interruzione dell'operatività a seguito dell'indisponibilità dei sistemi informativi (mancanza di processi/procedure di back up dei dati, disaster recovery, etc.) Distribuzione di prodotti/servizi finanziari non adeguati per la clientela di riferimento Frodi da parte del personale interno e/o dei promotori finanziari Frodi, inadempienze, inidoneità e carenze degli outsourcer Inappropriata comunicazione esterna verso la clientela e il mercato Scarsa preparazione del personale che non risulta sufficientemente in grado di fornire assistenza alla clientela in relazione alle esigenze espresse Errate comunicazioni inviate ai clienti n merito alla loro posizione (ad esempio, comunicazione di performance non corrette) Mancato rispetto delle regole di comportamento da parte del personale Numero elevato di reclami da parte della clientela Sanzioni da parte delle Autorità di Vigilanza Procedure non conformi per la gestione dei conflitti di interesse Procedure non conformi per la gestione degli adempimenti antiriciclaggio ed involontario coinvolgimento della Società e dei suoi esponenti, dipendenti, promotori in fatti di riciclaggio Presidi 1. Back up giornaliero dei dati 2. Adozione di procedure di Disaster Recovery 3. Adozione di procedure di Business Continuity 1. Consegna ed illustrazione alla clientela del documento informativo sui prodotti/servizi prestati 2. Assistenza alla clientela nella compilazione del questionario di profilazione 3. Adozione di metodologie adeguate di valutazione dell'adeguatezza dei prodotti/servizi offerti 1. Gestione della rete aziendale e della sicurezza dei dati sulle postazioni in locale 2. Adozione di policy interne sull'utilizzo dei sistemi informativi 3. Previsione di un apposito sistema sanzionatorio 1. Previsione a livello contrattuale di appositi service level agreement 2. Verifica continuativa dell'operato degli outsourcer 3. Proposizione agli organi aziendali della sostituzione di outsourcer non adeguati 1. Disciplina di apposite modalità di comunicazione esterna nel Codice Interno di Comportamento 2. Istituzione di un ufficio addetto alle relazioni esterne 1. Corsi di formazione periodici 2. Valutazione periodica del gardo di preparazione del personale 1. Verifica del contenuto delle comunicazioni alla clientela 2. Verifica dell'effettivo invio delle comunicazioni alla clientela 3. Tempestiva comunicazione alla clientela in caso di errori 1. Adozione di un Manuale delle Procedure Aziendali 2. Adozione di un Codice Interno di Comportamento 3. Adozione di un Codice Deontologico di Autodisciplina dei Promotori Finanziari 1. Adozione di procedure adeguate di gestione dei reclami da parte della clientela 2. Risoluzione delle disfunzioni che sono suscettibili di generare reclami da parte della clientela 1. Gestione continuativa, onesta e trasparente dei rapporti con le Autorità di Vigilanza 2. Risoluzione dei problemi che sono stati oggetto di rilievi da parte delle Autorità di Vigilanza 1. Adozione di apposite procedure per la gestione dei conflitti di interesse, in particolare in relazione ai rapporti di gruppo 2. Mappatura delle possibili situazioni di conflitto di interessi 3. Attivazione di apposite misure di gestione e di disclosure dei conflitti di interesse che possono ledere la clientela 1. Adozione di apposite procedure per la gestione degli adempimenti antiriciclaggio 2. Profilazione della clientela ai fini antiriciclaggio con consultazione di fonti informative pubbliche 3. Coinvolgimento delle funzioni interne di controllo nella valutazione delle operazioni di maggiore rilievo 20

21 Esempio di BS per il rischio strategico Fattori di rischio strategico Processo di pianificazione strategica che individui le priorità nel breve/medio/lungo periodo rispetto alla situazione attuale e prospettica dei mercati di riferimento Processo di definizione di strategie e obiettivi in linea con il risk appetite e il target di rischio dell'intermediario Struttura organizzativa Procedure aziendali Presidio dell'incidenza delle evoluzioni normative sulle aree di business della SIM Capacità, competenza ed esperienza del management necessarie all'implementazione delle iniziative strategiche e al raggiungimento degli obiettivi Linee guida operative per il conseguimento degli obiettivi strategici definiti Analisi periodica del posizionamento competitivo dell'intermediario nei mercati/segmenti di riferimento Sistemi informativi funzionali al conseguimento degli obiettivi strategici Processo di fine tuning delle decisioni strategiche rispetto ai cambiamenti del contesto competitivo Strumenti/procedure di monitoraggio del raggiungimento degli obiettivi strategici definiti Presidi 1. Elaborazione del piano strategico 2. Elaborazione del budget annuale 3. Analisi periodica raggiungimento obiettivi 4. Analisi dei mercati e della concorrenza 1. Definizione del risk appetite 2. Definizione di linee strategiche in linea con il risk appetite e il target di rischio 3. Analisi periodica per verificare che l'assunzione di rischi resti nei limiti stabiliti 1. Predisposizione e aggiornamento della Relazione sulla Struttura Organizzativa 2. Verifica periodica dell'adeguatezza della struttura organizzativa 3. Attuazione di interventi sulla struttura organizzativa (all'occorrenza) 1. Predisposizione del Manuale Procedure delle Aziendali e delle policy 2. Aggiornamento delle procedure 3. Verifica del rispetto delle procedure 1. Aggiornamento continuativo sull'evoluzione del quadro normativo 2. Tempestivo adeguamento dell'operatività alle modifiche normative 3. Tempestivo adeguamento delle procedure alle modifiche normative 1. Verifica dei requisiti di capacità, competenza ed esperienza del management 2. Attuazione tempestiva di azioni correttive sul management in caso di scostamenti dagli obiettivi 3. Attuazione tempestiva di interventi di riorganizzazione del management in caso di mancato raggiungimento degli obiettivi 1. Definizione di linee guida operative per il conseguimento degli obiettivi prefissati 2. Analisi periodica degli scostamenti dagli obiettivi inizialmente prefissati 3. Eventuale modifica delle linee guida operative nel caso dovessero risultare non soddisfacenti 1. Tempestivo adeguamento ai mutamenti dei mercati/segmenti di riferimento 2. Analisi delle quote di mercato e confronto con i competitor e successiva revisione delle linee d'azione 1. Adeguatezza e funzionalità dei sistemi informativi 2. Monitoraggio del corretto svolgimento delle procedure informatiche gestite dagli outsourcer 3. Verifica dei livelli qualitativi dei servizi inerenti ai sistemi informativi forniti dagli outsourcer 1. Tempestiva modifica delle linee strategiche rispetto ai mutamenti del mercato 1. Predisposizione di appositi strumenti/procedure di monitoraggio degli obiettivi 2. Verifica periodica dell'adeguatezza degli strumenti/procedure 3. Modifica tempestiva degli strumenti/procedure in caso di inadeguatezza 21

22 Grazie per l attenzione! 22