Modello di funzionamento della Compliance: principi e strumenti

Transcript

1 WORKSHOP Il supporto IT all approccio GRC per la riduzione dei costi nelle organizzazioni pubbliche e private Milano, 1 Dicembre 2009 Roberto Rufolo - Partner, Adfor 1

2 Stato dell arte Il proliferare e la continua evoluzione dei regolamenti e delle normative nazionali ed internazionali, e la pluralità di funzioni a vario titolo coinvolte Controlli Interni, Audit, Risk Management, Rischi Operativi, Compliance Manager, Information Security Manager determinano una continua e crescente complessità: CATEGORIE GENERALI riguardano tutte societàin generale, indipendentemente dal settore in cui operano PARTICOLARI riguardano le societàche si trovano in particolari situazioni (ad esempio quotate) indipendentemente dal settore in cui operano SPECIFICHE Riguardano specificamente le societàche operano in un determinato settore (nell esempio: assicurazioni, finanza) Includono norme e regolamenti dei rispettivi Organi di Vigilanza LEGGI, NORME, REGOLAMENTI, STANDARD (ESEMPI) L.231 (responsablità amministratori) L. 48/2008 (criminalità informatica) D.Lgs 81/2008 (testo unico sicurezza) D.Lgs 196/2001 (privacy) Sarbanes Oxley L. 231/07 (Antiriciclaggio) Solvency MIFID L. 262 (Trasparenza bancaria) Codice delle assicurazioni private Regolamenti ISVAP, Direttive BANKIT, Direttive CONSOB, DISCREZIONALI Sono, in genere, standard di mercato ai quali la societàintende conformarsi ISO (Information Security) ISO (Business Continuity) ISO 9001/Vision 2000 (Qualità) EFQM (Qualità) 2

3 Termini di riferimento OGGETTI DI COMPLIANCE SISTEMA DELLA COMPLIANCE Leggi, regolamenti, norme interne, standard, codici etici, al cui rispetto si deve / si intende essere conformi Rischi Controlli Sistema dei Controlli Derivanti da comportamenti non conformi: PotentialComplianceFailurePoint nei processi di business Conseguenze operative economiche legali reputazionali Ciò che si mette in atto per evitare / individuare / correggere comportamenti non conformi Articolazione delle responsabilità attinenti ai controlli Processi di Compliance Management Processi operativi del sistema della compliance(analisi, valutazione dei rischi, definizione dei controlli, verifiche, indirizzo correttivi, reporting, ) 3

4 Cornice per la costruzione della Compliance QUADRO DI GOVERNO SCENARIO DI RIFERIMENTO E VISIONE MODELLO DI FUNZIONAMENTO SISTEMA DEI CONTROLLI STRUMENTI SOFTWARE PROCESSI OPERATIVI CHE COSA Perimetro d interesse, Raccomandazioni e attese del Management, Policy di valutazione del rischio COME Responsabilità e criteri di cooperazione, Adempimenti, Rischi e Controlli per ciascuna materia nel perimetro d interesse Attività di monitoraggio, intervento, reportistica, Soluzioni applicative a supporto delle attività ROAD MAP QUANDO Programma di realizzazione graduale del Modello di Funzionamento Fattori chiave di successo (formazione, comunicazione, motivazione, ) 4

5 Stato dell arte Le aziende, in primis quelle del comparto finanziario, stanno affrontando questa complessità attraverso una fase di start-up caratterizzata da : Definizione di ruoli e responsabilità Mappatura di processi Analisi di impatto delle diverse normative sui singoli processi aziendali Modelli di gestione del rischio di compliance Strumenti software primordiali (tendenzialmente excel) E necessario (in atto in alcune realtà) il passaggio da questa fase di start-up ad una fase a regime, caratterizzata da un Sistema di Gestione della Compliance, rispetto al quale l IT costituisce un imprescindibile fattore abilitante 5

6 Sistema di Gestione della Compliance: visione d alto livello IMPIANTO (EX ANTE) ATTIVITA DI IMPIANTO DELLA COMPLIANCE (NUOVE NORMATIVE, NUOVI PRODOTTI, MODIFICHE ORGANIZZATIVE E PROCEDURALI) ANALISI D IMPATTO GAP ANALYSIS ACTION PLAN AZIONI VALIDAZIONE ADEMPIMENTI E SISTEMA DEI CONTROLLI PROCESSI DI BUSINESS ADEMPIMENTI RISCHI CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO MODALITA E FREQUENZA DI VERIFICA REPORTISTICA ISTITUZIONALE E DI GOVERNO GESTIONE (EX-POST) PROCESSI DI COMPLIANCE MANAGEMENT VERIFICHE DI I E II LIVELLO SEGNALAZIONI DI NON CONFORMITA VERIFICHE REPORTING REPORTING ACTION PLAN AZIONI VALIDAZIONE 6

7 Il ruolo dell IT: fornire soluzioni per favorire efficienza e efficacia IMPIANTO (EX ANTE) ATTIVITA DI IMPIANTO DELLA COMPLIANCE (NUOVE NORMATIVE, NUOVI PRODOTTI, MODIFICHE ORGANIZZATIVE E PROCEDURALI) GESTIONE (EX-POST) VERIFICHE DI I E II LIVELLO SEGNALAZIONI DI NON CONFORMITA REPORTING ANALISI D IMPATTO PROCESSI DI BUSINESS VERIFICHE GAP ANALYSIS ACTION PLAN ADEMPIMENTI E SISTEMA DEI CONTROLLI ADEMPIMENTI RISCHI PROCESSI DI COMPLIANCE MANAGEMENT ACTION PLAN AZIONI CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO AZIONI MODALITA E FREQUENZA DI VERIFICA VALIDAZIONE VALIDAZIONE REPORTISTICA ISTITUZIONALE E DI GOVERNO REPORTING Strumenti software a supporto delle conoscenze, fonti normative, pareri Strumenti software a supporto del ciclo di gestione operativa della compliance I principali requisiti per uno strumento software per la gestione operativa della compliance: Copertura funzionale dell intero ciclo di compliance management, Efficienza di gestione (eliminazione/riduzione delle ridondanze nei controlli), Apertura (in import) a fonti normative interne/esterne, Integrabilità (import/export) con altri sistemi (risk management, process management, ), Adattabilità al contesto organizzativo Multi-azienda, multi-divisione, multi-livello (operazionale, gestionale, direzionale), multi-lingua Flessibilità di utilizzo Viste multiple (per norma, per processo, per unità organizzativa), Selettività rispetto ai ruoli aziendali (per ruolo rispetto alla compliance) 7

8 Sintesi delle principali funzionalità Gestione Anagrafiche, Parametri, Repository Ciclo di Compliance Management Raggruppamento Viste Multiple Processi di Business Risk Tiers Contesto organizzativo Parametri Fase del Ciclo Identificazione e analisi dei rischi Definizione della risposta al rischio Assessment e Gap analysis Action Plan Validazione Verifiche Reportistica Contenuti Informazioni generali Profilo di rischio Flowchart Signing Process Categorie di rischio Funzioni, Persone, Sedi, Sistemi IT,. Criteri di valutazione, Pesi, Questionari, Entità coinvolte Leggi, Regolamenti, Adempimenti, Rischi di non conformità, Assertions, Analisi quali-quantitativa Controlli di I e II livello, Owner dei controlli, Frequenza e modalità di verifica, KRI, Stato attuale dei controlli, Scostamenti dallo stato di conformità, Debolezze, Definizione e monitoring di interventi per il rientro dalle non conformità Verifica del rientro da non conformità Verifiche nel continuo: frequenze, scadenziari, gestione degli alert, Gestione di segnalazioni di non conformità, traccia e storicizzazione di eventi Reporting gestionale: rischi, controlli, debolezze, traccia degli interventi, scadenziari, Dashboard direzionali con grafica e funzionalità di drill down 8

9 Rischi di non conformità e gerarchia dei controlli Esempi tratti dalla suite software Easy2comply LEGGI, NORME, REGOLAMENTI Potential Compliance Failure Point PROCESSI SRUTTRA ORGANIZZATIVA Descrizione del rischio di Compliance Controlli di terzo livello Controlli di secondo livello Di competenza dell audit Di competenza di RiskManager e Compliance Manager Valutazione Qualitativa: matrice impatto/probabilità Controlli di primo livello (Controlli di linea) 9 Di competenza dei rispettivi process owner

10 Definizione della risposta al rischio: i controlli Esempi tratti dalla suite software Easy2comply PROCESSI LEGGI, NORME, REGOLAMENTI Potential Compliance Failure Point SRUTTRA ORGANIZZATIVA Rischio e Controllo associato Descrizione del Controllo Descrizione dell obiettivo del controllo e delle azioni già in atto 10

11 Dashboard (per Livello di Conformità, per processo, per norma, ) Esempi tratti dalla suite software Easy2comply Nota: tutti i Dashboard sono visibili per Normativa, Standard o Processo 11

12 Riassumendo i requirement per l IT SISTEMI INFORMATIVI NECESSITA GOVERNANCE CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO E TERZO LIVELLO SISTEMI OPERAZIONALI (DI BUSINESS) Obbligare/Facilitare/ comportamenti conformi Impedire comportamenti non conformi Funzionalitàa supporto dei controlli (Log, Queryspecifiche, estrazioni) SISTEMI DI GOVERNO DELLA COMPLIANCE Valutazione dei rischi Dashboardper gli organi di controllo Riduzione dei costi di compliance mgnt Definire i controlli adeguati al livello di rischio Aumento di efficacia Verificare, individuare non conformità, tracciare, documentare Aumento di efficacia SISTEMI DI CONDIVISIONE DELLA CONOSCENZA Accesso a fonti normative LegalInventory Informare Motivare Favorire la comunicazione 12

13 L esperienza di un gruppo bancario olandese con presenza multinazionale 13

14 Background PROFILO PERIMETRO DI COMPLIANCE MODELLO : OPERATING IN SILOS Il gruppo bancario offre una gamma completa di servizi attraverso: 183 banche locali (olandesi) indipendenti, per un totale di 1220 filiali, un organizzazione centrale, e un rilevante numero di uffici internazionali. Il gruppo serve: 9 milioni di clienti con addetti in 42 nazioni. Piùdi 50 norme e standard: International regulations -come Basel II Regionalregulations, come ad esempio MiFID in Europa Sarbanes Oxley in USA Leggi e regolamenti locali Regolamenti bancari di ciascuna nazione Standard di Internal Governance IT standard come: ITIL, ISO Regulation/ Standard Basel II ISO27001 Privacy Law Mifid Cobit Task Force Group A Group B Group C Group D Group E Consultants Firm #1 Firm #2 Firm #3 Firm #4 Firm #5 CONSEGUENZE Methodolog y Tools Disomogeneità Visioni parziali della compliancee dei rischi Duplicazione degli sforzi Audit Fatigue Costi alti e crescenti di anno in anno Ciclo lungo di compliance α β γ δ ε 14

15 La soluzione Una soluzione composta da due elementi: COMPLIANCE FRAMEWORK integrato COMPLIANCE MODELLING APPROACH 15 15

16 Il risultato L imbuto della Compliance: 4904 Controls Active evaluated 215 Controls added 1195 Active Controls left Internal Internal Policies Policies ROB ROB BASEL-II BASEL-II Unix Unix WFD WFD SOX SOX Windows Windows WBP WBP Security Security Baseline Baseline Control Objectives Control Objectives Tandem Tandem Current Active Controls Tabaksblat Tabaksblat Security Security Guide Line Guide Line ZOS ZOS WEH WEH 76% diriduzionedel numerodicontrolli 50% di riduzione dei costi totali di gestione della compliance Limitato numero di nuovi controlli aggiunti dopo le prime 9 normative affrontate (attualmente circa 40) 16