Percorso Professionalizzante per la Compliance in banca. Modulo 2 Compliance Risk Management: metodologie e strumenti. Milano, maggio 2012

Transcript

1 Modulo 2 Compliance Risk Management: metodologie e strumenti Milano, ottobre 2011 Percorso Professionalizzante per la Compliance in banca Modulo 2 Compliance Risk Management: metodologie e strumenti Sede ABI - Via Olona, 2 Copyright 2009 ABIFORMAZIONE Divisione di ABISERVIZI S.p.A.

2 LA MATRICE DEI RISCHI COMPLIANCE

3 Indice La Compliance Risk Matrix Esempi

4 Cosa ci interessa di una norma? LA MATRICE DEI RISCHI COMPLIANCE il riferimento normativo? il contenuto (requisito normativo)? le sanzioni applicabili in caso di non rispetto del dettato normativo? Quindi: RIFERIMENTO NORMATIVO REQUISITO NORMATIVO SANZIONI PER NON COMPLIANCE

5 Come definiamo il requisito normativo? Associando dettati normativi tra loro correlati per argomento o finalità. Dato il requisito normativo, si tratta di analizzare lo stesso al fine di individuare i processi/procedure aziendali impattati rischi compliance associati

6 Quindi la nostra CRM conterrà i seguenti campi: RIFERIMENTO NORMATIVO REQUISITO NORMATIVO SANZIONI PER NON COMPLIANCE RISCHI PROCESSI E PROCEDURE IMPATTATI Dato il processo/procedura impattata, può interessarci il c.d. process owner o l unità o le unità organizzative coinvolte nel processo/procedura?

7 Fino a qui abbiamo: inventariato i requisiti normativi e le relative sanzioni collegate individuato i rischi collegati ad ogni requisito normativo identificato i processi/procedure impattati ed, eventualmente, le UO e/o i PO pertinenti Quello che ancora non abbiamo fatto è una valutazione dell impatto dei requisiti/rischi sui processi/procedure. Che vuol dire rispondere alla seguente domanda: La procedura impattata è adeguata? Ossia, mitiga il rischio di un non rispetto del dettato normativo che insiste sulla stessa? Detto in altri termini: quali sono le azioni di mitigazione, i controlli funzionali ad un presidio del rischio di non conformità individuato?

8 Quindi, sembra necessario dover aggiungere un ulteriore colonna alla nostra CRM: RIFERIMENTO NORMATIVO REQUISITO NORMATIVO SANZIONI PER NON COMPLIANCE RISCHI PROCESSI E PROCEDURE IMPATTATI AZIONI DI MITIGAZIONE Data l azione di mitigazione, può interessarci identificare il soggetto che ha la responsabilità di porla in essere ( control owner )?

9 Quali altri elementi possiamo considerare? BU impattata? servizio coinvolto? E data una norma, può interessarci di suddividerla per argomenti? MiFID Informazioni e comunicazioni pubblicitarie e promozionali Classificazione della clientela Contratti Adeguatezza Etc.

10 ESEMPI RIFERIMENTO NORMATIVO Art. 17, c. 1, lett. a) Documento di valutazione dei rischi TUSSL Il datore di lavoro deve redigere, Art. 28, c. 2 e 3 periodicamente, un documento TUSSL contenente la valutazione di tutti i rischi Art. 29, c. 1, 2 e 3 per la sicurezza e salute dei lavoratori, TUSSL in collaborazione con il RSPP ed il Medico competente, previa consultazione del RLS. Il documento, che deve riportare data certa, deve contenere tutte le informazioni richieste dalla vigente normativa. REQUISITO NORMATIVO SANZIONI RISCHI PROCEDURE AZIONI DI MITIGAZIONE 1) Per il datore di lavoro: arresto da 4 a otto mesi o ammenda da a euro (art. 55, c. 1, lett. a) TUSSL). 2) Per il datore di lavoro: ammenda da a euro, in caso di mancanza del programma delle misure di mantenimento dei livelli di sicurezza o di indicazione del nominativo del RSPP, RLS, medico competente (art. 55, c. 3 TUSSL) 3) Per il datore di lavoro: ammenda da a euro (art. 55, c. 3 TUSSL) 1) Omessa adozione del DVR 2) Adozione di DVR incompleto 3.1) DVR redatto senza la collaborazione del RSPP e del medico competente 3.2) DVR redatto senza la consultazione preventiva con il RLS 3.3) Omessa rielaborazione del DVR SSL: GESTIONE VALUTAZIONE DEI RISCHI 1) Procedura, policy, regolamento interno 2) Valutazione preventiva di conformità 3.1) Procedura, sottoscrizione del DVR 3.2) Procedura, attestazione del RLS 3.3) Procedura, CRM (e conseguentemente CCRA)

11 RIFERIMENTO NORMATIVO Art. 114, c. 7 TUF Art. 152-octies, c. 8, lett. b) RE REQUISITO NORMATIVO SANZIONI RISCHI PROCEDURE AZIONI DI MITIGAZIONE Informativa ai soggetti rilevanti Sanzione amministrativa pecuniaria da Occorre dare informazione ai soggetti 5.000,00 a ,00 euro (art. 193, rilevanti, che sono dirgienti della società, c. 1 TUF) della loro avvenuta identificazione come soggetti rilevanti e degli obblighi connessi. Omessa comunicazione ai S.R. COMUNICAZIONE a S.R. 1) Elenco dei soggetti rilevanti per funzione (IDPRO). 2) Dichiarazione scritta da parte di ogni soggetto rilevante di presa d'atto di essere incluso tra i soggetti rilevanti, di attestazione di aver ricevuto copia della IDPO, di consapevolezza degli obblighi connessi. 3) Internal Dealing Training.

12 IL COMPLIANCE RISK ASSESSMENT

13 Indice Framework Strumenti e metodologie

14 DOVE RISIEDONO TALI OBBLIGHI? PROCESSO COME POSSO MITIGARE IL RISCHIO DI NON RISPETTO DI TALI OBBLIGHI? FRAMEWORK CONTROLLI START REQUISITO QUALI OBBLIGHI HO? TEST C-CAP COME EVITO CHE QUALCOSA CHE NON E ANDATO BENE NON SI RIPETA? COME VERIFICO CHE SIA ANDATO TUTTO BENE?

15 DOVE RISIEDONO TALI OBBLIGHI? PROCESSO STRUMENTI E METODOLOGIE COME POSSO MITIGARE IL RISCHIO DI NON RISPETTO DI TALI OBBLIGHI? CONTROLLI INIZIO REQUISITO QUALI OBBLIGHI HO? Valutazione EX ANTE dei controlli ABICS La matrice dei rischi compliance (Compliance Risk Matrix) Il processo di compliance risk assessment

16 COME POSSO MITIGARE IL RISCHIO DI NON RISPETTO DI TALI OBBLIGHI? Il processo di compliance control risk assessment CONTROLLI Valutazione EX POST dei controlli C-CAP(Compliance Corrective Action Plan) COME EVITO CHE QUALCOSA CHE NON E ANDATO BENE SI RIPETA? TEST COME VERIFICO CHE SIA ANDATO TUTTO BENE? SCHEDA COMPLIANCE TEST RIF. TEST PERIODO DI RIFERIMENTO OBIETTIVO DEL TEST FREQUENZA POPOLAZIONE descrizione # elementi CAMPIONE tecnica criterio di selezione METODOLOGIA TESTER ESITO

17 VALUTAZIONE DEI RISCHI EX ANTE RISCHIO INERENTE CONTROLLI RISCHIO RESIDUO EX POST

18 PROCESSO DI COMPLIANCE COMPLIANCE PROGRAMME ADVICE GUIDANCE & EDUCATION IDENTIFICATION, MEASUREMENT & ASSESSMENT MONITORING & TESTING REPORTING

19 IDENTIFICATION, MEASUREMENT & ASSESSMENT RISCHIO INERENTE Il rischio inerente è il rischio che una attività incorpora prima di considerare i controlli o altri fattori di mitigazione che sono stati posti in essere. Per la valutazione del livello del rischio inerente è necessario considerare due fattori che sono correlati alle seguenti domande: > Quale è la probabilità che un evento avverso, a prescindere dai controlli, possa verificarsi? PROBABILITA DI ACCADIMENTO > Quanto è significativo l impatto sul business se si verifica un evento avverso? SEVERITA DELL IMPATTO

20 RISCHIO RESIDUO Il rischio residuo è il rischio che non è eliminato dai meccanismi di controllo del Business o dalle caratteristiche dell ambiente operativo. E quindi, in generale, il rischio che il Business è preparato a tollerare. Il livello del rischio residuo è dunque funzione dell esistenza e dell efficacia/efficienza del controllo.

21 PROBABILITA DI ACCADIMENTO Quale è la probabilità che un evento avverso, a prescindere dai controlli, possa verificarsi? ALTA MEDIA BASSA BASSA: al più una volta all anno MEDIA: 6 volte all anno ALTA: almeno tutti i mesi RARA: al più una volta all anno BASSA: da 2 a 4 volte all anno MEDIA: da 5 a 12 volte all anno ALTA: più volte al mese

22 Quanto è significativo l impatto sul business se si verifica un evento avverso? ALTO MEDIO BASSO SEVERITA DELL IMPATTO BASSA: fino a euro MEDIA: fino a euro ALTA: oltre euro BASSA: fino a euro MEDIA: da 11 mila a 25 mila euro MEDIO/ALTA: da 26 mila a 50 mila euro ALTA: oltre 50 mila euro

23 PROBABILITA X SEVERITA Data la probabilità di accadimento dell evento avverso e la sua severità, si tratta di associare questi due elementi al fine di pervenire alla valutazione complessiva del rischio. PROBABILITA' ACCADIMENTO ALTA MEDIA BASSA BASSO ALTO ALTO BASSO MEDIO ALTO BASSO BASSO MEDIO BASSA MEDIA ALTA SEVERITA' IMPATTO

24 RISK ASSESSMENT EX ANTE RIFERIMENTO NORMATIVO REQUISITO NORMATIVO SANZIONI PER NON COMPLIANCE RISCHI PROCESSI E PROCEDURE IMPATTATI AZIONI DI MITIGAZIONE RISCHIO RESIDUO Dobbiamo valutare i rischi al lordo dei controlli (rischio inerente) ed i rischi al netto dei controlli (rischio residuo)

25 VALUTAZIONE AZIONI DI MITIGAZIONE In questa fase, valutiamo la bontà delle azioni di mitigazione dal punto di vista della loro adeguatezza. Come possiamo giudicare un controllo, un azione di mitigazione? NON ADEGUATA Non esistono azioni di mitigazione PARZIALMENTE ADEGUATA L azioni di mitigazione presidia solo in parte il rischio PREVALENTEMENTE ADEGUATA L azioni di mitigazione presidia una parte rilevante del rischio ADEGUATA L azioni di mitigazione presidia il rischio

26 MONITORING & TESTING MONITOR ING TESTING COMPLIANCE RISK INDICATORS COMPLIANCE RISK MATRIX RISK ASSESSMENT Valutazione ex post delle azioni di mitigazione

27 ABI COMPLIANCE RISK INDICATORS ABI Libro Bianco sulla Funzione Compliance: Area Tematica 4 (Prof. Mario Anolli Università Cattolica di Milano) Il monitoraggio dei risk indicator può permettere di identificare tendenze anomale e potenziali difformità. E uno strumento di controllo a distanza e preventivo che facilita una razionale e completa valutazione del sistema dei controlli interni a presidio dei rischi di non conformità alle norme. Con controllo a distanza si intende un attività di indagine condotta tramite l estrazione, l elaborazione e l analisi continuativa e sistematica di dati provenienti direttamente da diversi archivi aziendali.

28 ABI COMPLIANCE RISK INDICATORS Il monitoraggio da parte della funzione Compliance degli indicatori di rischi persegue una molteplicità di obiettivi quali: - l indirizzo dell azione di controllo della Compliance, orientando la pianificazione delle attività sulle aree più critiche; - l individuazione e il monitoraggio continui delle aree di maggiore rischio per consentire azioni di intervento tempestive e mirate; - la ricerca di informazioni predittive a supporto delle valutazioni qualitative derivanti dalle altre attività della funzione Compliance; - il miglioramento dell efficacia e dell efficienza del processo di valutazione del sistema dei controlli interni a presidio dei rischi di non conformità alle norme (risparmio di tempo e risorse).

29 ABI COMPLIANCE RISK INDICATORS Un sistema di controlli a distanza può prevedere lo sviluppo di almeno tre tipologie di indicatori di rischio, che si differenziano per valenza predittiva e obiettivi della funzione Compliance:

30 ABI COMPLIANCE RISK INDICATORS La costruzione di un set di indicatori di rischio richiede la preventiva definizione di un dizionario dati contenente le informazioni necessarie per la ricerca, lo sviluppo e l utilizzo degli indicatori medesimi; per la costruzione degli indicatori vengono comunemente considerate le seguenti variabili: - AREA DI RIFERIMENTO: descrive il processo aziendale a cui l indicatore si riferisce; - PERIMETRO NORMATIVO: identifica la norma oggetto del controllo dell indicatore; - OBIETTIVO DEL CONTROLLO: identifica la finalità dell utilizzo dell indicatore; - DESCRIZIONE INDICATORE: identifica l evento numeratore e denominatore (eventuale) che dà origine all indicatore; -COEFFICIENTE DI RELAZIONE ANOMALIA / NORMATIVA: identifica il livello di significatività - FREQUENZA: identifica la tempistica di estrazione dell indicatore; -

31 ABI COMPLIANCE RISK INDICATORS Ogni indicatore assume un proprio valore in termini assoluti che lo caratterizza nel periodo di osservazione assunto come riferimento. Al fine di supportare la valutazione di criticità dei fenomeni ad esso correlati è indispensabile che l indicatore sia valutato in termini relativi, rispetto ad uno o più valori di riferimento (soglia). La soglia rappresenta il limite o l intervallo oltre il quale la situazione osservata entra in uno status di attenzione che richiede ulteriori analisi ed approfondimenti. La definizione di soglie per i diversi indicatori consente l impostazione di un sistema di controllo a distanza in grado di evidenziare le situazioni anomale ovvero quelle che presentano elevata probabilità di manifestazione di rischio o quelle maggiormente deteriorate rispetto ai precedenti periodi di osservazione.

32 COMPLIANCE RISK INDICATORS

33 RISK ASSESSMENT EX POST RIFERIMENTO NORMATIVO REQUISITO NORMATIVO SANZIONI PER NON COMPLIANCE RISCHI PROCESSI E PROCEDURE IMPATTATI AZIONI DI MITIGAZIONE RISCHIO RESIDUO Dobbiamo verificare le azioni di mitigazione, al fine di confermare la valutazione fatta ex ante dei rischi residui

34 COMPLIANCE TEST: OBIETTIVO Costituiscono il momento di verifica ex post della funzione di compliance ed hanno l obiettivo di assicurare che effettivamente nel tempo le azioni di mitigazione che, in fase ex ante, abbiamo giudicato adeguate, abbiamo tenuto, ossia siano efficaci.

35 COMPLIANCE TEST: FREQUENZA Con quale frequenza dobbiamo verificare la tenuta delle azioni di mitigazione? Più è alto il rischio inerente e maggiore sarà la frequenza con cui dovrò verificare che sia andato tutto bene. VALUTAZIONE RISCHIO INERENTE BASSO MEDIO ALTO FREQUENZA COMPLIANCE TEST ANNUALE SEMESTRALE TRIMESTRALE

36 DESCRIZIONE/OBIETTIVO Contiene la descrizione della/e verifica/che che verranno effettuate. FREQUENZA Indica la periodicità del test. COMPLIANCE TEST: ELEMENTI METODOLOGIA Il test può essere performato utilizzando metodologie diverse: interviste, inquiry, esame della documentazione, riesecuzione dell attività, produzione di specifici report di controllo, etc. POPOLAZIONE La popolazione rappresenta tutti gli oggetti che costituiscono l area di interesse. La popolazione di riferimento sarà quella relativa al periodo testato. Es. Numero di contratti aperti nell ultimo quadrimestre. Nel test è necessario fornire una descrizione della popolazione ed indicare il numero di oggetti che la compongono. CAMPIONE Contiene la descrizione della tecnica utilizzata per la selezione degli oggetti della popolazione da sottoporre a verifica e la numerosità di tali oggetti rispetto alla popolazione. TESTER Colui che esegue i test può far parte della funzione di compliance/ia o può appartenere all unità in cui vengono eseguite le azioni mitiganti, ma in questo caso dovrà essere persona differente rispetto a quella che pone in essere tali azioni e non potrà essere il responsabile dell unità. ESITO Riporta i risultati dei test effettuati, includendo il numero e il tipo delle eventuali anomalie riscontrate.

37 COMPLIANCE TEST: TECNICHE DI CAMPIONAMENTO (1/2) Tecnica di campionamento Deve essere descritto il criterio di selezione utilizzato (una terza persona deve essere in grado di replicare il test) Deve essere fornito una giustificazione per la scelta della tecnica di campionamento. Esempi di tecnica di campionamento: Random Totale Judgemental Sistematica Numerosità del campione E il numero degli elementi selezionati dalla popolazione.

38 COMPLIANCE TEST: TECNICHE DI CAMPIONAMENTO (2/2) Totale Gli elementi della popolazione che verranno verificati (campione) coincidono con la popolazione. Criterio di selezione: Tutti gli elementi inclusi nella popolazione. Random Questa tecnica di selezione casuale degli elementi della popolazione da sottoporre a verifica assegna a tutti gli elementi della popolazione la stessa probabilità d essere inclusi nel campione. Il campione selezionato possiede approssimativamente le stesse caratteristiche in una porzione della popolazione. Tale selezione permette di estendere i risultati delle verifiche sul campione all intera popolazione. Criterio di selezione: Selezione casuale semplice. Judgmental Gli elementi inclusi nel campione soddisfano alcuni requisiti stabiliti dal Tester, che quindi consapevolmente influenza il processo di selezione per ottenere certi obiettivi. In questo modo non si intende rappresentare con il campione l intera popolazione. Criterio di selezione: Chiara descrizione del criterio usato. Sistematica Questa tecnica permette di campione da gruppi di elementi che hanno determinate caratteristiche in comune. Criterio di selezione: Chiara descrizione delle caratteristiche prese a riferimento per segmentare la popolazione in sottoinsiemi. Indicazione del criterio di selezione utilizzato all interno dei sottoinsiemi della popolazione.

39 COMPLIANCE TEST: ESITO POSITIVO Non sono state rilevate anomalie o le anomalie rilevate sono giudicate non significative NEGATIVO Le anomalie rilevate dimostrano che le azioni poste a mitigazione non hanno tenuto quindi non stanno mitigando il rischio Validazione RESIDUAL RISK Apertura C-CAP Valutazione RESIDUAL RISK

40 COMPLIANCE TEST: FORMALIZZAZIONE (1/2) SCHEDA COMPLIANCE TEST RIF. TEST PERIODO DI RIFERIMENTO OBIETTIVO DEL TEST FREQUENZA POPOLAZIONE descrizione # elementi CAMPIONE tecnica criterio di selezione METODOLOGIA TESTER ESITO

41 COMPLIANCE TEST: FORMALIZZAZIONE (2/2)

42 COMPLIANCE CORRECTIVE ACTION PLAN In caso di esito negativo del compliance test o di superamento del trigger definito per il CRI, occorre procedere alla definizione di un piano di azione correttivo al fine di: sanare, ove ritenuto necessario, le anomalie riscontrate, porre in essere nuove azioni di mitigazione. Il C-CAP pertanto sarà costituito almeno dai seguenti elementi: Tipologia di anomalia riscontrata (non tenuta del controllo, superamento del trigger) Descrizione dell anomalia Azione proposta Data definita per la realizzazione dell azione proposta Responsabile della realizzazione

43 COMPLIANCE CONTROL RISK ASSESSMENT RIF. CRM DESCRIZIONE RISCHIO RISCHIO INERENTE PROBABILITA' SEVERITA' TOTALE AZIONI DI MITIGAZIONE VALUTAZIONE AZIONI RISCHIO RESIDUO (EX ANTE) COMPLIANCE TEST DESCRIZIONE FREQUENZA TESTER METODOLOGIA ESITO RISCHIO RESIDUO (EX POST)