Valutare il Compliance Risk: spunti per un approccio integrato

Transcript

1 Valutare il Compliance Risk: spunti per un approccio integrato. Copyright 2010 Accenture All Rights Reserved. Accenture, its logo, and High Performance Delivered are trademarks of Accenture.

2 Agenda I. Contesto di riferimento II. Approccio al Compliance Risk Assessment III. Considerazioni conclusive Copyright 2010 Accenture All Rights Reserved. 2

3 Intensa attività di regolamentazione nel settore finanziario negli ultimi anni Contesto esterno e rischio di non conformità Incentivi al personale Conflitti di interesse Codice del consumo Operazioni personali Mifid Codice Privacy Modello organizzativo 231 Antiriciclaggio Trasparenza Normativa assicurativa Sicurezza sul lavoro Usura Numerose normative emanate sia a livello internazionale che nazionale Nuovo approccio basato più sulla definizione di principi che di regole puntuali Aree di sovrapposizione da gestire tra normative differenti Percorsi di adeguamento con impatti spesso invasivi su organizzazione, processi e strumenti a supporto - di non conformità alle norme - Sanzioni giudiziarie Sanzioni amministrative Perdite operative Danni reputazionali Copyright 2010 Accenture All Rights Reserved. 3

4 Crescente attenzione da parte delle Autorità di Vigilanza sull efficacia dei presidi di conformità sviluppati dagli Intermediari Principali evidenze su attività Autorità di Vigilanza BANCA D ITALIA Il numero complessivo di sopralluoghi ispettivi ha registrato dal 2008 al 2009 un incremento pari al 10% Nei primi cinque mesi del 2010 sono già stati avviati 138 sopralluoghi ispettivi (67% di tutto il 2009) Specifici approfondimenti hanno interessato la liquidità, le strutture e i processi di controllo interno, i presidi organizzativi atti a garantire la continuità operativa, l antiriciclaggio Fonte: Banca d Italia. Relazione al Parlamento e al Governo (Roma, giugno 2010) CONSOB L ammontare complessivo delle sanzioni pecuniarie comminate a fronte delle attività ispettive svolte ha registrato dal 2008 al 2009 un incremento pari al 320% Le sanzioni sono riconducibili soprattutto a illeciti in materia di abusi di mercato e informativa societaria Con riguardo ai gruppi di maggiori dimensioni, la Consob nel 2010 ha ordinato a 2 Banche di convocare i rispettivi CdA per esaminare e rimuovere le criticità rilevate in sede di ispezione Fonti: Consob. Relazione per l anno 2009 (Roma, marzo 2010) e Incontro annuale con il mercato finanziario (Milano, giugno 2010) ANTITRUST Il numero complessivo di pratiche commerciali sanzionate ha registrato dal 2008 al 2009 un incremento pari al 15% L ammontare delle sanzioni comminate nell anno 2009 è pari a 8,2 mln di euro (ambito Credito e Assicurazioni) Le principali aree di intervento sono riconducibili alle commissioni di massimo scoperto, carte di credito, credito al consumo, cancellazione ipoteche, messaggi pubblicitari su prodotti bancari Fonti: Antitrust. Relazioni annuali sull attività svolta (Roma, aprile 2009 e marzo 2010) Copyright 2010 Accenture All Rights Reserved. 4

5 Nuovo focus Intermediari finanziari su esigenza di progressivo rafforzamento del modello operativo della funzione di Compliance Nuova wave di adeguamento Driver esterni (Normativa) Driver interni (efficientamento) Risultati indirizzati Fase costitutiva : Indirizzo e costruzione nuova funzione Fase di go live : Roll-out e Funzionamento Operativo Fase di evoluzione : Rafforzamento processi e razionalizzazione controlli Collocazione organizzativa Funzionigramma (missione, ruolo e responsabilità) Confronto con Organi Statutari Interni, Senior Management, responsabili del business Primo Compliance Plan Avvio modello operativo funzione di Compliance Interazione periodica con Organi Statutari Interni Indirizzo progetti prioritari (es. DLgs. 231/2007, ) Avvio iniziative di formazione (es. mindset, comunicazione, ) Contatti e confronti con Regolatori Esterni Paper Compliance Basilea 2 Istruzioni di vigilanza sulla Compliance (Bozza) Bozza documento Bankit/Consob Termine Bankit per costituzione funzione di Compliance Affinamento metodologie, processi e strumenti a supporto delle attività valutative (in particolare CRA) Rafforzamento attività di Assurance con particolare riferimento ai controlli da svolgere nel continuo Diffusione di una vera cultura di Compliance a tutti i livelli aziendali 2011 Tempo Ambito approfondito nelle tavole che seguono Copyright 2010 Accenture All Rights Reserved. 5

6 Esigenza di affinare processi e strumenti per la valutazione del rischio di non conformità Il Compliance Risk Assessment Analisi puntuale degli adempimenti previsti dalla normativa e identificazione dei possibili rischi di non conformità Valutazione dei rischi potenziali e valutazione di efficacia dei presidi / controlli sviluppati a mitigazione dei rischi medesimi Identificazione ambiti normativi con rischio residuo più alto (priorità da indirizzare) potenziale - = Presidi/controlli residuo Copyright 2010 Accenture All Rights Reserved. 6

7 Importante avere una mappa dettagliata dei rischi per singolo ambito normativo Quali rischi gestire Illustrativo La mappatura dei rischi per normativa va effettuata in sede di impianto del processo di Compliance Risk Assessment E possibile appoggiarsi a provider esterni per il catalogo degli adempimenti normativi e dei rischi collegati E importante curare l aggiornamento periodico degli adempimenti per le normative in ambito Copyright 2010 Accenture All Rights Reserved. 7

8 definire una metodologia di valutazione del rischio che tenga conto sia della componente operativa che di quella reputazionale. Misurare il rischio potenziale potenziale Componente Operativa A Componente Reputazionale B di incorrere in sanzioni giudiziarie o amministrative e perdite finanziarie rilevanti in conseguenza di violazione di norme imperative (legge, regolamenti) o di autoregolamentazione di sostenere un aggravio di perdite finanziarie derivanti dalla percezione di comportamenti contrari alle norme ovvero ai principi di riferimento su cui si fonda il modello di business e la relazione con la clientela Aspetti metodologici Utilizzo di tecniche RSA (Risk Self Assessment) per la valutazione del rischio potenziale collegato ad eventi di non conformità Driver di valutazione basati tipicamente su entità e natura sanzioni in caso di non rispetto dei singoli adempimenti Sinergie possibili con Operational Risk Management per confrontare le valutazioni con l andamento storico delle perdite operative per eventi di non conformità Valutazione componente reputazionale tenendo conto di possibili effetti su deterioramento/perdita relazione con il cliente, possibili conseguenze su volumi fatturato, deterioramento relazione con Autorità di vigilanza, rilevanza mediatica eventi, ecc. Copyright 2010 Accenture All Rights Reserved. 8

9 Esempio Scheda di valutazione rischio Illustrativo Componente reputazionale _ MIF 1 _ MIF 2 _ MIF 3 _ MIF 4 Copyright 2010 Accenture All Rights Reserved. 9

10 valutare sia la copertura dei presidi per la mitigazione dei rischio (valutazione ex ante) che l effettivo funzionamento (valutazione ex post) Valutare l efficacia dei presidi a mitigazione del rischio Presidi/ controlli Valutazione ex-ante A Valutazione ex-post B La valutazione ex-ante si basa sull analisi di esistenza / completezza dei presidi/ controlli a copertura dei diversi rischi. Esempi di variabili da analizzare possono essere Esistenza/ aggiornamento normativa interna Presenza di controlli automatici nelle procedure IT Formazione per prevenire comportamenti non conformi La valutazione ex-post si basa sull analisi delle evidenze dei controlli di II e III livello volti a verificare l effettiva applicazione delle norme interne e l efficacia dei presidi/ controlli previsti nel prevenire situazioni di non conformità Aspetti metodologici La valutazione ex ante può essere effettuata direttamente dai process owner/control owner di primo livello (es. Organizzazione, IT, Formazione) La valutazione ex post viene fatta direttamente dalla funzione di Compliance sulla base delle evidenze dei controlli svolti sia direttamente che indirettamente (evidenze da Internal Audit) Dal punto di vista metodologico le 2 valutazioni possono essere utilizzate in modo integrato (combinando opportunamente i risultati) oppure in modo sequenziale Sia la valutazione ex-ante che quella expost vanno fatte con riferimento ai singoli rischi identificati sugli ambiti normativi considerati (approccio bottom up) Copyright 2010 Accenture All Rights Reserved. 10

11 Esempio Scheda di valutazione presidi / controlli Illustrativo _ MIF 1 _ MIF 2 _ MIF 3 _ MIF 4 Copyright 2010 Accenture All Rights Reserved. 11

12 Il posizionamento delle normative sulla matrice potenziale / presidi - controlli è la bussola per la definizione delle azioni di mitigazione Matrice potenziale Copertura presidi/controlli per valutazione residuo Potenziale Basso Significativo Adeguata Banca depositaria Distribuzione Pdt Assicurativi Sistemi di pagamento Usura Antiriciclaggio Antitrust Mifid Market Abuse Conflitti di interesse Copertura Presidi / Controlli Trasparenza Gravi carenza Illustrativo Privacy Le normative che evidenziano un posizionamento con alto rischio potenziale e valutazione bassa su presidi/controlli sono quelle su cui la Banca dovrà intervenire in modo prioritario Le azioni di mitigazione da attivare dipenderanno dalle gap evidenziate emerse nella fase di valutazione presidi/controlli. Esempi possono essere: Adeguamento/ completamento della normativa interna aziendale su ambiti specifici Attivazione nuovi controlli informatizzati Up-grade delle procedure IT a supporto di specifiche fasi di processo Nuove iniziative di formazione sul personale di rete Rafforzamento controlli di secondo livello per un monitoraggio rafforzato su ambiti più rischiosi Rafforzamento procedure di assistenza alla rete (e.g. Help desk). Copyright 2010 Accenture All Rights Reserved 12

13 Considerazioni conclusive Esistono nella pratica operativa diverse modalità per approcciare al Compliance Risk Assessment. Al di là del modello prescelto, elemento secondo noi importante è quello di riuscire a coinvolgere nel processo le diverse funzioni aziendali che possono contribuire ad una migliore valutazione del cd. rischio residuo : Risk Management (condivisione approccio metodologico e analisi dati di perdita per valutazione componente operativa del rischio) Referenti Business (valutazione possibili ricadute commerciali connesse a eventi di non conformità) Process/ Control Owner (o anche Operational Risk Manager distribuiti sul territorio) per autovalutazione presidi di primo livello Internal Audit per acquisizione elementi rilevanti da controlli indipendenti di terzo livello Altre funzioni aziendali per inclusione eventuali ulteriori elementi di valutazione (es. reclami clientela, cause legali, evidenze Autorità di Vigilanza, ecc) Importante la piena integrazione del Compliance Risk Assessment nel processo di gestione del rischio di conformità: Evidenze del Compliance Risk Assessment devono costituire l input principale per l approntamento del Compliance Plan annuale No esercizio una tantum ma monitoraggio periodico del rischio residuo sulla base delle evidenze dell attività di Assurance svolta direttamente dalla funzione Compliance e/o in collaborazione con l Internal Audit Copyright 2010 Accenture All Rights Reserved 13