Compliance in Banks 2010

Transcript

1 Compliance 2010 Compliance in Banks 2010 Interazioni organizzative e funzionali tra le attività di Risk Management e quelle di Compliance Fernando Metelli

2 Executive Summary Non c è ancora una storia di convivenza aziendale tra le due funzioni e quindi non si è ancora formata una best practice a cui fare riferimento La normativa si sviluppa in regolamentazioni separate La crisi finanziaria ha acuito la sensibilità dei Regulator e degli intermediari creditizi/finanziari al sistema di monitoraggio e gestione dei rischi L adeguato sviluppo di una risk culture richiede convergenza tra le attività di compliance e quelle di risk management È auspicabile che le disposizioni normative rafforzino il processo di convergenza Una compliance efficace (.. un risk management efficace..) fa la differenza nei momenti di difficoltà La persistenza di una situazione generalizzata di difficoltà ambientale manterrà alta la citata sensibilità al sistema di gestione del rischio È l occasione per far sì che l efficacia si coniughi con l efficienza 1

3 Premessa (1). Compliance & Risk Management La funzione compliance è destinata ad assumere un ruolo centrale nel sistema di risk management delle imprese bancarie e finanziarie. (*) Se èvero che la funzione di Compliance svolge la propria attività con l obiettivo principale di prevenire il rischio di non conformità al fine di non incorrere in sanzioni giudiziarie o amministrative, salvaguardare la reputazione dell intermediario, mantenere adeguata la fiducia della clientela e del pubblico, quindi èvero che la funzione di Compliance contribuisce alla creazione di valore ma allora è anche vero che Compliance e Risk Management parlano lo stesso linguaggio La funzione compliance opera usando logiche e strumenti tipici delle funzioni di risk management (*) (*) Anna Maria Tarantola, Cetif, 4 ott

4 Premessa (2). Le funzioni di controllo/prevenzione rischi e la governance Il Summit del G20 tenutosi il 15 novembre 2008 ha sancito (Declaration) la necessità di implementare riforme che rafforzino i mercati finanziari e i sistemi di regolamentazione al fine di evitare crisi in futuro - we pledge to strengthen our regulatory regimes, prudential oversight, and risk management - le banche dovrebbero reasses their risk management models, strenghten risk management practices.. policies for sound risk management Il CEBS ha predisposto (aprile 2009) il documento high level principles for risk management in cui afferma che a strong institution-wide risk culture is one of the key elements of effective risk management Secondo il CEBS ci sarebbero gap da colmare, in particolare: - governance and risk culture - risk appetite and risk tolerance.. - new product approval policy and process 3

5 Premessa (3). Le funzioni di controllo/prevenzione rischi e la crisi finanziaria Passata la fase acuta della crisi, si sono notati sforzi di regulator, vigilanza, intermediari per rendere la gestione dei rischi più solida e il sistema più sicuro Si sono create interazioni più frequenti e intense tra funzioni di risk management e Board, più sforzi e tentativi per dare maggior risalto alle funzioni di controllo e prevenzione rischi Leggo, da Risk Management Lessons from the Global Banking Crysis of 2008 (Financial Stability Board): - tutto ok sulla governance, - non altrettanto sul fronte dei modelli. Ritengo invece che non sia una questione di modelli, ma di governance e di relazione tra funzioni di controllo/prevenzione rischi e altre funzioni Per rimanere nel nostro ambito di intervento: - di quanto e come si è sviluppata la comprensione da parte del board dei rischi monitorati in modo qualitativo e non quantificati? - quali strumenti concreti di prevenzione/gestione del rischio reputazionale sono stati approntati? Il rischio è che la crisi abbia generato effetti virtuosi solo temporanei 4

6 Il sistema dei controlli. Compliance, Risk Management, Audit Siamo nell ambito del Sistema dei Controlli. Attenzione però a delimitare bene i ruoli. In passato, si sono notate duplicazioni/ filiazioni dell Audit (in particolare nell ambito dei rischi operativi e, in generale, dei rischi non quantificabili) Entrambe le funzioni - Risk Management e Compliance - devono essere auditabili. L Audit ha il compito di verificarne l adeguatezza e l efficacia complessiva, anche sottoponendole a revisione Da questo punto di vista, le attività di Risk Management e quelle di Compliance paiono sullo stesso piano Mi sembra opportuno ricordare che il sistema dei presidi posti in essere per la prevenzione del rischio di riciclaggio e di terrorismo rientra nel perimetro delle funzioni di Compliance/ Risk Management. La logica risk based introdotta dal Dlgs 231/07 ha avvicinato le metodologie di controllo antiriciclaggio a quelle proprie di risk management. La lettura del Documento di Consultazione 2010 (Provvedimento Recante Disposizioni Attuative in Materia di Organizzazione, Procedure e Controlli Interni) è illuminante: la funzione in argomento [antiriciclaggio] può anche essere attribuita alle strutture che svolgono le funzioni di compliance o di risk management. Le medesime funzioni non possono essere assegnate alla funzione di revisione interna 5

7 La svolta : Compliance e condizionamento del business Posta, quindi, la chiara e definitiva distinzione tra Audit e Compliance, quando si parla di quest ultima è necessario abbandonare la tradizionale (consolidata, perché meglio basata su esperienza storica) logica dell Audit per entrare nella logica del business Il Compliance Manager pur facendo parte del c.d. Sistema dei Controlli è un controllore del tutto particolare, che: - non può intervenire dopo (non è sufficiente) - deve agire prima e, ciò facendo, - condiziona il business, - cioè presidia il risk size del business (quanto meno di una fetta importante dello stesso) E corporate center in termini logici, ma fa management in senso stretto. Collocare la compliance in questa dimensione imprenditoriale è, a mio parere, coerente con i paradigmi dell impresa etica 6

8 Aspetti organizzativi Non propongo soluzioni definitive e risolutive. La struttura dei controlli è definita in autonomia da ogni soggetto in base al principio della proporzionalità (dimensioni, mercati di approvvigionamento e di sbocco, complessità, ecc.) coerenza con le strategie e l operatività aziendale La collaborazione tra Compliance e Risk Management si può sviluppare secondo alcune principali direttrici, per quanto concerne il processo di valutazione dei rischi di non conformità (Compliance Risk Assessment) 7

9 La misurazione del rischio di non conformità Discutere delle differenze tra rischi operativi e rischi di compliance mi pare diseconomico. Già si è detto. Mi soffermo sugli aspetti metodologici Metriche, regole, infrastutture teconologiche e metodologiche di misurazione dei rischi sono sostanzialmente le stesse proprie dell operational risk management Si effettua la rilevazione dei dati sulle perdite subite La tecnica del self assessment è ugualmente spesso utilizzata Infine, stesso approccio si adotta per la valutazione dei rischi e la definizione dei presidi/interventi per la mitigazione del rischio di non conformità e del rischio reputazionale (tra i rischi operativi?) 8

10 La misurazione qualitativa dei rischi Il rischio misurato con approcci qualitativi, o quello comunque difficilmente quantificabili (reputazionale, strategico, ecc.) viene dimensionato tramite assessment soggettivi. Se però non trova una quantificazione oggettiva e trasparente: - non riesce ad inserirsi nei processi gestionali, condizionando il business - diventa un rischio nominale, sopportato solo perché esiste, non mitigabile Proposta dai Risk Manager ai Compliance Manager: costituire un tavolo tecnico per mettere insieme esperienze e definire criteri oggettivi, estendendo l iniziativa ai gestori dell ICAAP 9

11 La difficile dimensione del rischio reputazionale I rischi di non conformità possono essere distinti tra quelli quantificabili e quelli misurabili con approcci qualitativi Tra i secondi si colloca il rischio reputazionale Cosa si deve fare quando la società affronta un rischio reputazionale? Come deve comportarsi al fine di consolidare la percezione di un brand affidabile anche in situazioni di crisi reputazionale? Deve affrontare una strategia di risposta : - risposta interna - risposta esterna - risposta ai danneggiati - rapporti con Vigilanza Non siamo nell ambito del compliance risk management? 10

12 Conclusioni La congiuntura di mercato (probabilmente di non breve durata) acuirà la sensibilità degli stakeholder La libertà di movimento dei capitali, in un mondo preda di squilibri non preventivati e difficilmente gestibili, premierà la corretta corporate governance la corporate governance è corretta quando è efficace ed efficiente, misurabile e basata su un sistema di aggiustamento (sanzionatorio) Come si colloca la Compliance in questo quadro? Funzioni di controllo autorevoli, innovative, dotate di adeguate risorse professionali contribuiscono a guidare gli organi di vertice verso scelte strategiche coerenti con il quadro normativo e con le proprie potenzialità, creano una cultura aziendale di correttezza dei comportamenti e di affidabilità, accrescono la fiducia del mercato nell operatività delle banche (Anna Maria Tarantola) 11