Executive Master in Compliance Management 2012/2013 Lavoro di diploma GESTIONE DEL RISCHIO COMPLIANCE ATTRAVERSO L APPLICAZIONE DI CLASSICI STRUMENTI DI RISK MANAGEMENT Financial Risk Manager of Global Association of Risk Professionals Master of Science (MSc) dell Università di Losanna (HEC) Relatore: Simona Mulinari Fleury
La funzione di Compliance, oramai consolidata anche all interno degli istituti bancari della piazza finanziaria svizzera, in origine si è designata prevalentemente come una funzione di supporto al management in particolare in relazione a problematiche di lotta al riciclaggio di denaro. Negli anni si è poi assistito ad un graduale ampliamento di compiti e competenze e una sempre maggiore tendenza all inserimento del Compliance office nel sistema di interno, peraltro dimostrata dall avvicinamento, anche organico, della funzione all unità di del rischio. Questo nuovo indirizzo, riscontrabile anche nel profilo specialistico degli stessi Compliance officer, ha permesso, fra le altre cose, di superare la contrapposizione tra le esigenze di performance e quelle di conformità, fortemente riscontrata agli albori della creazione della funzione all interno delle banche. Le più recenti analisi di Corporate Governance sono infatti unanime nel considerare che solo attraverso un accurata gestione dei rischi, ed in particolare dei rischi operativi (in relazione ai quali si posiziona anche la figura del Compliance officer), si garantisce la sopravvivenza dell azienda. Il Centro di Studi Bancari, in linea con i propri principi, desidera contribuire alla creazione di una cultura di Compliance, non solo mediante l erogazione di corsi di formazione specialistica, ma anche attraverso la promozione di pubblicazioni tematiche che possono interessare la nostra Piazza finanziaria e che tengano conto degli sviluppi e orientamenti nazionali e internazionali. I due quaderni di ricerca 37 e 38 fanno parte della serie tematica promossa dal Centro di Competenze Compliance e sono stati selezionati tra i lavori di diploma presentati nell ambito dell edizione 2012-2013 del corso di Executive Master in Compliance Management. Il quaderno numero 37 approfondisce in maniera sistematica e descrittiva il tema della gestione del rischio compliance attraverso l applicazione di classici strumenti di risk management. Quantunque la normativa sottolinei l importanza della valutazione del rischio Compliance, non viene definita una metodologia e vi è carenza di linee guida in materia. L autrice propone un modello quantitativo di riferimento per l analisi e la gestione del rischio Compliance, con l obiettivo di sviluppare una metodologia di valutazione e di assessment di tale rischio, senza tuttavia avere la pretesa di identificare tutti gli eventi di rischio rispettivamente i controlli idonei a mitigare gli stessi. Il modello proposto, destinato ad istituti di piccole medie dimensioni, ricerca l equilibrio tra standardizzazione e flessibilità. Il lettore è accompagnato attraverso le diverse fasi di analisi, valutazione e, mediante l ausilio di tabelle e cartografie. Centro di competenze legal & compliance Tamara Erez Le idee espresse in questo quaderno sono di natura personale e non riflettono necessariamente le opinioni dei rappresentanti del Centro di Studi Bancari
INDICE 1 PREFAZIONE E OBIETTIVI DEL LAVORO 6 2 EXECUTIVE SUMMARY 7 3 EVOLUZIONE DEL RUOLO DELLA FUNZIONE COMPLIANCE E QUADRO LEGALE 9 3.1 Evoluzione e compiti della funzione Compliance 9 3.2 Quadro normativo e legale di riferimento in Svizzera 10 4 DEFINIZIONE DI UNO STRUMENTO DI GESTIONE DEI RISCHI 12 4.1 COSO (I) 12 4.2 COSO II - COSO/ERM 13 5 APPLICAZIONE DELLE 8 COMPONENTI DEL COSO/ERM ALLA GESTIONE DEI RISCHI COMPLIANCE 14 5.1 Ambiente di 14 5.2 Definizione degli obiettivi 15 5.3 Identificazione degli eventi 15 5.4 Valutazione dei rischi 16 5.5 Trattamento dei rischi 20 5.6 Attività di 21 5.7 Informazione e comunicazione 25 5.8 Monitoring 28 6 CONCLUSIONE E SFIDE FUTURE 29 7 TABELLA 1: IDENTIFICAZIONE DEGLI EVENTI DI RISCHIO 31 8 TABELLA 2: RISCHIO INERENTE PER OGNI EVENTO DI RISCHIO 34 9 TABELLA 3: VALUTAZIONE DEI RISCHI E DEI CONTROLLI COMPLIANCE 37 10 TABELLA 4: CARTOGRAFIA DEI RISCHI 45 11 TABELLA 5: TABLEAU DE BORD DEI RISCHI E DEI CONTROLLI 46 12 MATERIALE LEGISLATIVO 47 Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 2
LETTERATURA CONSULTATA - Associazione Italiana Internal Auditors e PWC (2006), La gestione del rischio aziendale, Capitolo «Valutazione del rischio» - Basel Committee on Banking Supervision (2012), The internal audit function in banks - Comitato di Basilea (1998), Schema per i sistemi di interno nelle organizzazioni bancarie - Comitato di Basilea (2005), Compliance and the compliance function in banks, cfr 6 - Comitato di Basilea (2006), Compliance and the compliance function in banks, cfr 37 - Comitato di Basilea (2006), I principi di governo societario nelle organizzazioni bancarie - Flavia Giorgetti Nasciuti (2010), Compliance Management, una guida per il settore finanziario, capitolo I (Compliance e funzione Compliance, sinergie e differenze) - Flavia Giorgetti Nasciuti (2012), Sistema di Controllo Interno, spunti di riflessione per il settore finanziario, Capitolo II (Conformità e ) - GAFI (2012), Raccomandazioni GAFI in materia di prevenzione e contrasto al finanziamento del terrorismo - http://it.wikipedia.org/wiki/metodo_monte_carlo - Kirchmaier, Thomas and Selvaggi, Mariano (2006), The dark side of 'good' corporate governance: compliance-fuelled book-cooking activities - OCSE (2004), I principi di governo societario - Prof. Myron Scholes (1998), Citazione in seguito al caso Long Term Capital Management (LTCM) - Wolfsberg Group (2012), Anti-Money Laundering Principles for Private Banking Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 3
ABBREVIAZIONI Sigla ADE ASB BCBS CdA CDB CO COSO CPS CRO ERM FATCA FINMA FUSC GAFI FATF LB LBCR LBVM LICol LPS LRD MPC MROS OAD OBVM ODA OFoP OICol ORD P/L PEP RC RM SCI seg. SFA Descrizione Avente Diritto Economico Associazione Svizzera dei Banchieri Basel Committee on Banking Supervision Consiglio di Amministrazione Convenzione di Diligenza delle Banche Codice delle Obbligazioni svizzero Committee of Sponsoring Organization Codice Penale Svizzero Chief Risk Officer Enterprise Risk Management Foreign Account Tax Compliance Act Autorità federale di vigilanza sui mercati finanziari Foglio Ufficiale Svizzero di Commercio Gruppo d Azione Finanziaria Internazionale contro il riciclaggio di capitali Financial Action Task Force Legge sulle Banche Legge federale sulle Banche e le Casse di Risparmio Legge federale sulle Borse e il commercio di Valori Mobiliari Legge federale sugli Investimenti Collettivi di capitale Libera Prestazione di Servizi Legge sul Riciclaggio di Denaro Ministero Pubblico della Confederazione Ufficio federale di comunicazione Organismo di Auto-Disciplina Ordinanza federale sulle Borse e il commercio di Valori Mobiliari Obbligo di Diligenza accresciuta Ordinanza sui Fondi Propri Ordinanza sugli Investimenti Collettivi di capitale Ordinanza sul Riciclaggio di Denaro Conto di Perdita e Profitti Persone Esposte Politicamente Registro di Commercio Relationship Manager Sistema di Controllo Interno seguenti Swiss Fund Association Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 4
DISCLAIMER: IL MODELLO PRESENTATO NEI PARAGRAFI SUCCESSIVI E IL FRUTTO DI VARIE RIFLESSIONI PERSONALI MATURATE DURANTE LE MIE ESPERIENZE PROFESSIONALI PASSATE E PRESENTI NEL SETTORE DELLA GESTIONE DEI RISCHI E DELLA COMPLIANCE. L UTILIZZO E LA DIFFIUSIONE DEL MODELLO COSÌ COME DEL CONTENUTO NON POTRÀ ESSERE UTILIZZATO O DISTRIBUITO SENZA IL MIO PREVIO ACCORDO. LE TABELLE PRESENTATE SONO UNA COPIA DI FOGLI DI CALCOLO IMPOSTATI IN MANIERA TALE CHE LE IPOTESI DI LAVORO SIANO IMPLEMENTATE ATTRAVERSO RIDOTTI INTERVENTI MANUALI. Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 5
1 PREFAZIONE E OBIETTIVI DEL LAVORO Nella mia riflessione generale sul tema da scegliere per questo lavoro di diploma mi sono confrontata con molteplici difficoltà. Una tra le tante era quella di trovare un argomento che potesse sfruttare al meglio le mie esperienze professionali precedenti quale Risk Manager, revisore interno ed esterno. Pertanto, al termine di questo processo di riflessione e, dopo varie considerazioni, sono arrivata alla conclusione di provare ad elaborare un modello quantitativo di riferimento per l analisi e la gestione del rischio Compliance che potesse, da un lato essere idoneo al mio obiettivo e, dall altro, avere quei giusti elementi per implementarlo operativamente. In effetti, la legislazione in materia, sia Svizzera sia al livello internazionale, sottolinea l importanza della valutazione del rischio Compliance senza purtroppo definire una metodologia o delle linee guide in materia. Il modello elaborato qui di seguito si prefigge quindi lo scopo di essere uno strumento guida generale e non esaustivo (elenco dei rischi e dei controlli). L obiettivo è di sviluppare una metodologia di valutazione e di assessment del rischio e non quello di identificare tutti gli eventi di rischio rispettivamente i controlli idonei a mitigare gli stessi. Lo scopo ultimo è di concettualizzare un modello di base per le banche di piccola o media dimensione con un livello di complessità dei servizi e prodotti offerti abbastanza limitato. Al fine di favorire questo esercizio, il modello deve essere, da un lato il più standardizzato possibile, per garantirne l uniformità e facilitarne la gestione, dall altro avere il giusto livello di flessibilità per assicurarne l applicabilità trasversale all interno di un istituto, e dunque la gestione delle diverse categorie di rischio Compliance (ivi incluso il suo aggiornamento puntuale). L equilibrio tra standardizzazione e flessibilità presuppone purtroppo un limite importante quale la discrezionalità di chi valuta un rischio o un, orbene la valutazione sia fatta su dei fattori oggettivi. Questo potrebbe portare a una sotto- o a una sopra-valutazione del rischio o del. È perciò ragionevole pensare di aggiungere degli elementi più obiettivi, quali dei Key Risk Indicators (KRIs) o dei Key Performance Indicators (KPIs) basati su elementi statistici e storici. Questa maggiore sofisticazione presuppone, però, di avere delle risorse maggiori in termine di personale, sistemi operativi e costi e tutto ciò andrebbero contro l obiettivo che mi sono fissata per questo lavoro. Il mio intento è di fornire un modello sintetico, sistematico e flessibile, le quali ipotesi possono essere adattate o modificate in breve tempo. In effetti, le realtà bancarie ticinesi, ad eccezione forse di alcune, non hanno ancora introdotto un vero schema di gestione del rischio Compliance, che di regola è valutato complessivamente come medio/alto; e che per definizione non può essere basso. Siamo ancora in una fase rudimentale nella gestione del rischio Compliance, e penso sia opportuno iniziare a implementare un modello semplice, comprensibile (a tutti i livelli) con un costo ridotto (semplice foglio Excel ). Questo poiché nei piccoli istituti, la funzione Compliance è coperta da uno, due o tre collaboratori, e i compiti attribuiti continuano ad ampliarsi (obbligo di Veille règlementaire, gestione del rischio Cross-Border, gestione di certi aspetti fiscali, senza considerare i Compliance Officer che si occupano anche della sicurezza informatica e della pianificazione della continuità delle attività). Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 6
2 EXECUTIVE SUMMARY Il ruolo della funzione Compliance negli ultimi anni ha subito un cambiamento radicale e di conseguenza anche il processo di analisi, valutazione e gestione dei rischi connessi necessità, in questa fase temporale, di taluni accorgimenti. Considerando che tutt oggi la funzione Compliance è spesso assimilata al servizio giuridico o al Risk Management, l integrazione di classici strumenti di gestione del rischio nella valutazione del rischio Compliance potrebbe portare vantaggi ed essere un importante supporto operativo e rispondere, di fatto, ai requisiti legislativi svizzeri ed internazionali che richiedono un appropriata gestione dei rischi, come lo prevedeva già il Comitato di Basilea, nell ormai lontano 2006 The compliance function should also consider ways to measure compliance risk (e.g. by using performance indicators) and use such measurements to enhance compliance risk assessment 1. Una metodologia o delle linee guida per la gestione del rischio Compliance non sono purtroppo, ad oggi, ancora state chiaramente definite a livello normativo. Pertanto, lo scopo di questo lavoro è stato quello di rispondere a questa carenza legislativa sviluppando un modello di riferimento semplificato per la valutazione del rischio Compliance applicabile ad istituti di piccole medie dimensioni (escludendo eventuali succursali e uffici di rappresentanza) e non considerando aspetti legati alla sorveglianza consolidata. Nei prossimi paragrafi, dopo aver introdotto l argomento con una cronistoria sull evoluzione della funzione Compliance e del suo inserimento nell organico di un istituto, illustrerò brevemente le caratteristiche principali del COSO I e del COSO/ERM. In seguito procederò, alla concezione del modello basandomi parzialmente sul framework del COSO/ERM. In una prima fase, è necessario identificare gli eventi di rischio più significativi, per ogni macro categoria di rischio Compliance (vedi Tabella 1) ad eccezione della dimensione fiscale poiché ad oggi non risulta ancora essere sufficientemente normata. In una seconda fase è opportuno valutare, assegnando un punteggio e giudizio, il rischio intrinseco di ogni evento (vedi Tabella 2). Nella valutazione del rischio intrinseco, ai fini del modello elaborato, sono stati considerati unicamente gli rischi che hanno una probabilità di evento medio/alta e un impatto medio/basso, quindi gestibili. In seguito, è altresì rilevante individuare i controlli (vedi Tabella 3), a presidio di ogni evento, e darne una valutazione più oggettiva possibile sulla loro idoneità considerando gli elementi principali cardini a riguardo delle attività di (livello del, indipendenza del, tempestività del, frequenza del, grado del, modalità del e tracciabilità del ). La valutazione del implica tuttavia l applicazione di alcuni elementi soggettivi che possono modificare il risultato finale ma non intaccando il concetto e la sistematica del modello stesso. 1 Comitato di Basilea (2006), Compliance and the compliance function in banks, cfr 37 Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 7
Al termine di queste fasi occorre trovare la metodologia più adatta affinché sia possibile determinare il rischio finale (o residuo). Pertanto, la combinazione tra i due elementi (rischio inerente e idoneità del ) è di fondamentale importanza. Nel modello elaborato, il risultato finale relativo all idoneità del gioca un ruolo importante; perciò, a seconda del risultato ottenuto, il rischio inerente è più o meno mitigato determinando così il rischio finale (vedi Tabella 3). Una volta ottenute le singole valutazioni, occorre classificare per categoria (alto, medio, basso) i vari risultati per informare adeguatamente le varie istanze superiori responsabili della definizione della propensione al rischio e della sua gestione (Consiglio di Amministrazione e Direzione operativa). Una possibile forma di informazione è presentata nel documento Cartografia dei rischi (vedi Tabella 4) che mette in evidenza gli aspetti essenziali del lavoro elaborato e permette di avere una visione schematica, semplice e diretta della situazione dei rischi Compliance. Allo stesso tempo, il modello, è una base di discussione per gli organi responsabili del governo della banca cosicché possano avere a disposizione uno strumento utile ad elaborare la propria strategia di rischio (risk appetite) ed il continuo assessment. Il Tableau de bord dei rischi e dei controlli Compliance (vedi Tabella 5) è una possibile soluzione per esercitare tale compito e, attraverso l eventuale integrazione di alcuni indici quali le criticità formulate dalla Revisione esterna e Revisione Interna rispettivamente le eventuali failures del Sistema di Controllo Interno, servire da vero e proprio indirizzo strategico. L implementazione operativa sarà una delle maggiori sfide alle quali le varie entità coinvolte saranno confrontate con l obiettivo di massimizzare la qualità dei controlli e le risorse a disposizione per raggiungere un equilibrio di efficienza ed efficacia. Il Compliance Officer giocherà un ruolo importante ma non sarà l unico ad essere coinvolto nell elaborazione del modello e quindi della gestione del rischio Compliance. Tale esercizio presuppone una ampia divulgazione, all interno dell istituto, di un adeguata cultura del (top-down e bottom-up) altrimenti la sua attuazione ne risulterà molto difficile Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 8
3 EVOLUZIONE DEL RUOLO DELLA FUNZIONE COMPLIANCE E QUADRO LEGALE 3.1 Evoluzione e compiti della funzione Compliance La funzione Compliance in Europa è nata nella seconda metà degli anni novanta, prevalentemente nel settore finanziario, e aveva come compito principale quello di supporto al management nella lotta contro il riciclaggio di denaro, diventando cosi una costola del settore giuridico. Con il passare degli anni, il Compliance Officer ha assunto sempre di più compiti nell ambito della gestione del rischio avvicinandosi ad una funzione di sorvegliante dei rischi ai quali un istituto è esposto e di garante della sua buona reputazione, contribuendo di fatto ad un miglioramento della Corporate Governance (organizzazione e Sistema di Controllo Interno inclusi). Nel 2006, Kirchmaier & Selvaggi affermavano già che the istitutional environment for corporate governance seems to be rapidly shifting from self-regulation to compulsory compliance. 2 La funzione Compliance è pertanto, oggigiorno, integrata, o per lo meno legata, e a volte si confonde, con altri attori del Sistema di Controllo Interno (di seguito anche SCI ). Una chiara ripartizione delle responsabilità e delle competenze può quindi risultare di difficile lettura. Questa problematica era già stata sollevata dal Comitato di Basilea nel 2005 3. Il posizionamento gerarchico di tale funzione da, tutt oggi, adito a molteplici discussioni, prevalentamente sul fatto che: a) sia o meno integrata in un'altra funzione, come ad esempio: alla funzione Legal, com è spesso il caso nei giorni nostri e nelle maggiori realtà; alla funzione di Risk Management, com era il caso nel passato; alla funzione di Controllo Interno, in un ottica di migliore gestione della Corporate Governance; alla funzione Fiscale in tal modo da poter rispondere con più efficacia ai nuovi e futuri requisiti nazionali ed internazioniali in questo ambito 4. 2 Kirchmaier, Thomas and Selvaggi, Mariano (2006), The dark side of 'good' corporate governance: compliancefuelled book-cooking activities 3 Comitato di Basilea (2005), Compliance and the compliance function in banks, cfr 6: Compliance should be part of the culture of the organisation; it is not just the responsibility of specialist compliance staff. Nevertheless, a bank will be able to manage its compliance risk more effectively if it has a compliance function in place that is consistent with the compliance function principles discussed below. The expression compliance function is used in this paper to describe staff carrying out compliance responsibilities; it is not intended to prescribe a particular organisational structure. 4 Weissgeldstrategie, Piazza finanziaria svizerra concorrenziale e coerente dal profilo fiscale, messaggio del Consiglio Federale, febbraio 2012 - CDB14 Tax compliant code - Dichiarazione CH-USA sull applicazione della FATCA, Foreign Account Tax Compliance Act, 21.6.2012 - FATF/GAFI nuove raccomandazioni 2012 Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 9
b) sia direttamente sottoposto al Consiglio di Amministrazione (di seguito anche CdA) oppure sotto la diretta responsabilità di un membro della Direzione Generale che ha i compiti di gestire tutti i rischi (Chief Risk Officer - CRO). RISK CONTROLS (CRO) Management support Tax compliant COMPLIANCE Regulatory controls Internal controls Risk management 3.2 Quadro normativo e legale di riferimento in Svizzera La funzione Compliance è stata definita per la prima volta in Svizzera nel 2006 con l entrata in vigore della Circolare CFB 06/6 Sorveglianza e interno 5 (sostituita dalla Circolare FINMA 2008/24 Sorveglianza e interno - banche 6 ), riprendendo ed in parte approfondendo quello già esposto nelle varie referenze normative internazionali 7. Una chiara ripartizione dei compiti e delle responsabilità dei vari attori del SCI è stata quindi formalmente istituzionalizzata. Tale Circolare stabilisce, tra le altre cose, il ruolo della funzione Compliance che prevede, da un lato, la responsabilità di valutare, su base annua, il rischio Compliance connesso all attività dell istituto e dall altra l elaborazione di un piano d intervento annuale, basato sul rischio. 5 Circolare del 27 settembre 2006, entrata in vigore il 1 gennaio 2007 6 Circolare del 20 novembre 2008, entrata in vigore il 1 gennaio 2009 7 I principi di governo societario dell OCSE (del 1999, revisionata nel 2004) o i principi di governo societario nelle organizzazioni bancarie del Comitato di Basilea del 2006 Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 10
Il rischio Compliance a sua volta è definito come il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di legge, di regolamenti o di autoregolamentazioni. Nell ambito del rischio Compliance è quindi incluso il rischio giuridico o legale. Sebbene la Circolare FINMA permette di chiarire alcuni dubbi circa le competenze della funzione Compliance, essa è lungi da fugare tutte le incertezze (..). In particolare si può rilevare che rimangono aperte le problematiche legate al sistema di interno e alla gestione dei rischi 8. Contemporaneamente all entrata in vigore di questa Circolare, la allora CFB emanò un ulteriore Circolare, la CFB 06/3 Rischi Operativi 9 (sostituita dalla Circolare FINMA 2008/21 Rischi Operativi-banche 10 ), che si prefigge l obiettivo di dare un quadro normativo alla gestione pratica del rischio Operativo che è definito, alla cifra marginale 2, come: il pericolo di perdite consecutive all inadeguatezza o all inefficacia delle procedure interne, dell uomo o dei sistemi oppure dovute a eventi esterni. Tale definizione include tutti i rischi legali, comprese le sanzioni comminate dalle autorità di vigilanza ed i patteggiamenti, ma esclude i rischi strategici e di reputazione. Vi è quindi il rischio di una possibile confusione tra il rischio Compliance ed il rischio Operativo che potrebbe creare sovrapposizioni e sprechi di risorse relativamente alla valutazione ed il presidio dei rischi. Pertanto è estremamente rilevante capire in cosa consiste il rischio Compliance e come può essere gestito e quali sono i limiti nella gestione rispetto ad altri classici rischi. Qui di seguito riporto un esempio esplicativo che evidenzia questo stretto legame. Rischio operativo Rischio legale Rischio di reputazione ESEMPI di rischi "cosidetti" operativi Frode interna Contenziosi nell'ambito dell attività di consulenza alla clientela Violazione degli obblighi fiduciari, mancata applicazione delle direttive Questi rischi posso sfociare in: Reclamo da parte di un cliente Azione in giustizia Rischiesta di risarcimento Se l'affare traspare all'esterno o a livello dei media: Rischio di immagine per la banca Eventuale perdita di clientela RISCHIO COMPLIANCE 8 Flavia Giorgetti Nasciuti (2010), Compliance Management, una guida per il settore finanziario, capitolo I 9 Circolare del 29 settembre 2006, entrata in vigore il 1 gennaio 2007 10 Circolare del 20 novembre 2008, entrata in vigore il 1 gennaio 2009 Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 11
4 DEFINIZIONE DI UNO STRUMENTO DI GESTIONE DEI RISCHI L interconnessione tra rischi Operativi e rischi Compliance e la possibile confusione di compiti tra il Risk Management e la funzione Compliance, potrebbe farci pensare che sia possibile gestire i rischi Compliance con i medesimi strumenti utilizzati dal Risk Management. Tuttavia, l attuazione pratica di un modello comporta alcune difficoltà oggettive poiché è necessario un coinvolgimento a 360 gradi di tutta la struttura e non soltanto da parte del Compliance Officer. 4.1 COSO I Il Committee of Sponsoring Tradeway Commission nel 1992, sotto la denominazione di COSO I, ha istituito in un modello i vari elementi del SCI sotto forma di piramide. Tale strumento è considerato, tutt oggi, lo standard di riferimento per la valutazione del SCI ed è l insieme di: Ambiente di : missione, obiettivi, organizzazione e regolamenti che definiscono la cultura della gestione dei rischi e dei controlli ( tone of the top ); Valutazione dei rischi: identificazione, misurazione e monitoraggio dei rischi; Attività di : procedure per assicurarsi il rispetto delle direttive emanate; Informazione e comunicazione: tempestività e correttezza nel raccogliere e comunicare l informazione all interno della banca; Monitoraggio: aggiornamento e miglioramento continuativo del SCI. INFOR MAZIO NE COMU NICAZI ONE Questo modello, orbene sviluppato come framework del Sistema di Controllo Interno, è spesso utilizzato nell ambito della gestione dei rischi operativi da parte del Risk Management. In effetti, oltre a dare una sistematica alla gestione dei rischi, legittima anche il fatto che la gestione del rischio è trasversale all interno di ogni azienda e coinvolge tutti i livelli gerarchici e tutti i processi. Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 12
4.2 COSO II - COSO/ERM Con gli anni la piramide COSO I si è evoluta, oggi conosciuta sotto il nome di COSO II o di COSO/ERM, ed integra oggigiorno: - 2 dimensioni supplementari: obiettivi: strategici, operativi, di reporting e di conformità; organizzazione: istituto, divisione, settore operativo o succursale. - 3 componenti aggiuntivi: Definizione degli obiettivi: che devono essere in linea con la missione e la propensione al rischio della banca; Identificazione degli eventi : interni o esterni che possono impedire il raggiungimento degli obiettivi; Trattamento dei rischi : soluzioni definite dal management per far fronte ai rischi (mitigare, accettare, evitare, condividere). Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 13
5 APPLICAZIONE DELLE 8 COMPONENTI DEL COSO/ERM ALLA GESTIONE DEI RISCHI COMPLIANCE Al fine di garantire una maggiore efficacia nella gestione dei rischi e allo stesso tempo una migliore efficienza, si potrebbe quindi utilizzare il modello del COSO con lo scopo di schematizzare un processo di gestione dei rischi Compliance coerente e completo. Nei paragrafi successivi illustrerò brevemente i componenti del modello COSO, tramite una loro applicazione pratica e quelli che possono essere alcuni rischi Compliance di un istituto bancario di media dimensione. Nello specifico, in prima analisi darò una spiegazione del significato degli elementi del COSO, soffermandomi in particolar modo sull identificazione e il trattamento dei rischi cosi come sulle attività di (valutazione dell idoneità dei controlli). Il modello che svilupperò qui di seguito, ha come obiettivo quello di analizzare la dimensione della Compliance del modello COSO/ERM, ovvero la conformità (gli aspetti strategici, operativi e di reporting non sono quindi considerati). Tale scelta è stata fatta per cercare di rendere più oggettivo possibile il modello in quanto in tutte le altre dimensioni vi sono diversi elementi soggettivi che possono variare da istituto a istituto. In aggiunta, ai fini di una corretta analisi delle altre dimensioni, è necessario operare attraverso un analisi integrata del processo (coinvolgimento di varie funzioni all interno di un istituto). Rinuncio altresì a considerare gli aspetti legati alla sorveglianza consolidata del rischio Compliance, soffermandomi unicamente ai rischi che un istituto indipendente (senza succursali o uffici di rappresentanza) potrebbe affrontare. Pertanto, orbene mi soffermerò nell analizzare le 8 componenti del COSO/ERM, le altre dimensioni del cubo non saranno approfondite. 5.1 Ambiente di L elemento Ambiente di definisce la base per una buona qualità nella gestione del rischio. Di fatto, tale elemento comprende la filosofia e lo stile del management, l attribuzione di poteri e responsabilità, la politica organizzativa e di motivazione del personale, i valori etici ecc. ed è esplicitato solitamente nel cosiddetto Code of Compliance. Il Comitato di Basilea ricorda a questo proposito che Il consiglio di amministrazione e l alta direzione hanno la responsabilità di promuovere elevati standard etici e di integrità e di creare una cultura aziendale che valorizzi e dimostri a tutto il personale l importanza dei controlli interni. È necessario che tutto il personale di un organizzazione bancaria abbia una chiara cognizione del proprio ruolo nel processo di interno e sia pienamente impegnato nel processo medesimo. 11 11 Comitato di Basilea (1998), Schema per i sistemi di interno nelle organizzazioni bancarie Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 14
Pertanto, il compito di stabilire il quadro di riferimento interno è chiaramente demandato alle istanze superiori (CdA e Direzione). Il Compliance Officer, deve adattarsi all Ambiente di Controllo e farne riferimento nell esercizio della gestione del rischio Compliance, ma non è lui direttamente responsabile della sua definizione rispettivamente del della sua corretta attuazione. Quindi, l aspetto ambiente di nella sua accezione più ampia non sarà tema di approfondimento nel presente lavoro. 5.2 Definizione degli obiettivi Come precisato in precedenza, l obiettivo principale del modello è quello di conformità, con la finalità di definire una sistematica nella gestione dei rischi, identificandoli e valutandoli in tal modo da poter fornire un quadro riassuntivo di facile lettura al CdA. 5.3 Identificazione degli eventi In un primo tempo si devono identificare i rischi al fine di poterli, in una seconda fase, sorvegliare. I rischi Compliance possono essere suddivisi in 3 principali macro-categorie. 5.3.1 Violazione della regolamentazione bancaria In questa categoria entrano tutti gli aspetti legati alla Convenzione di Diligenza delle Banche (CDB), che riprende parte delle raccomandazioni emanate dal GAFI/FATF o dei principi del Wolfsberg Anti-Money Laundering e censiti nella Legge contro il riciclaggio di denaro (LRD) e la relativa Ordinanza (ORD) della FINMA. Il rischio Cross Border, la violazione delle regole di comportamento sui mercati finanziari, la non adeguata organizzazione, per esempio, sono altri aspetti (rischi) ai quali la funziona Compliance deve dare la dovuta attenzione. 5.3.2 Veille règlementaire o compliance framework Il rischio riguardante questa categoria è quello che il corpo normativo interno non sia conforme all ordinamento esterno (Leggi, Circolari, Direttive ecc.) e non adeguatamente aggiornato alle continue evoluzione legislative. Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 15
5.3.3 Rischio fiscale Attualmente, l evasione fiscale e il trasferimento di capitali da paesi la cui legislazione ne limita il collocamento all estero non sono considerati come crimini a monte del riciclaggio di denaro. Tuttavia, la CDB, agli art. 7 e 8, vieta comunque di prestare assistenza attiva all evasione fiscale (vedi recente caso UBS) e alla fuga di capitale. Con l introduzione della Weissgeldstrategie, degli attuali e futuri accordi Rubik e della CDB 14 (che elaborerà un apposito Tax Compliant Code), gli aspetti fiscali, attualmente poco considerati nella legislazione, prenderanno sempre più importanza e quindi anche il rischio di non conformità potrebbe essere maggiore e di grande impatto per la piazza finanziaria svizzera e locale. Ad oggi (dicembre 2012), questi aspetti non sono ancora regolamentati e pertanto, ai fini della mia analisi, non saranno considerati. Per quanto riguarda invece le altre 2 macro categorie di rischio (violazione delle regolamentazione bancaria e veille règlementaire), ho elencato nella Tabella 1 Identificazione degli eventi di rischio (vedi p. 31 e seg.), i principali eventi di rischio. Questa lista è frutto di una riflessione personale e non ha quindi la pretesa di essere esaustiva e completa. Lo scopo è di servire per l elaborazione della metodologia di valutazione e di assessment del rischio. 5.4 Valutazione dei rischi Gli eventi di rischio identificati nella fase precedente non hanno tutti lo stesso livello di importanza e significatività. A questa stadio occorre prestare particolare attenzione alla valutazione del rischio intrinseco (o inerente). L esercizio di valutazione del rischio inerente può rivelarsi un attività con molteplici elementi soggettivi; quindi è importante cercare le giuste specificità che riescano a dare una corretta dimensione scientifica alla valutazione. A questo proposito, propongo di valutare ogni evento di rischio attraverso alcuni fattori interni ed esterni ad un istituto bancario. Ho identificato 6 fattori di rischio ai quali sono stati assegnati dei punteggi in funzione della loro gravità di impatto in caso di loro occorrenza. Il risultato finale di ogni fattore è quindi infine stato ponderato a seconda dell importanza soggettiva assegnata al singolo fattore e anche per rapporto agli altri fattori. Al termine del processo di valutazione, si ottiene uno scoring finale che rappresenta la valutazione del rischio inerente per ogni evento di rischio. Il numero di fattori di rischio può variare a dipendenza della complessità delle attività dell istituto e delle dimensioni dello stesso sia in termini di risorse e di presenza a livello mondiale. Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 16
5.4.1 Fattori di valutazione I 6 fattori di rischio identificati sono i seguenti: P/L: impatto sul conto di perdite e profitti (perdita finanziaria); Cliente: valore percepito dal cliente; Mercato: valore percepito dal mercato/stakeholders (controparti esterne, media, revisione esterna, autorità di sorveglianza, ecc ); Irreprensibilità: conseguenza in termini di garanzia di un attività irreprensibile da parte degli attori; Sanzioni: da parte di autorità di vigilanza in caso di non rispetto delle regole vigenti; Normative: esigenze a livello di competenze e di risorse nell implementazione della relativa norma (complessità della normativa, complicazioni nell implementazione, difficoltà d interpretazione, mancanza di competenze, disparità di norme, ecc ). La valutazione di tali fattori è da intendere come l impatto diretto in caso di occorrenza dell evento di rischio sull istituto (l impatto indiretto non è stato considerato per una questione di semplicità). Solitamente la valutazione degli eventi di rischio è analizzata da due prospettive: l impatto: livello di danno che viene creato da un determinato evento; la probabilità che questo evento possa accadere; e normalmente è il risultato di una combinazione di tecniche quantitative e qualitative. I rischi sono solitamente classificati in 4 categorie che illustrò qui di seguito: Probabilità Bassa Alta Situazione con rischio da gestire Situazione con rischio trascurabile Situazione con rischio da evitare Situazione con rischio estremo Minimo Elev ato Impatto Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 17
I rischi con un impatto e una probabilità bassa, non sono solitamente considerati dal management e dal CdA. Vi è quindi unicamente una presa di conoscenza della situazione di rischio. Per contro, quelli con un impatto elevato, devono essere analizzati approfonditamente con lo scopo di trovare le misure adeguate per mitigarli. La probabilità di accadimento di un evento, può essere formulata basandosi su rilevamenti statistici (ad esempio: dati storici), che costituiscono chiaramente una situazione oggettiva rispetto ad eventuali stime di evento considerate soggettive. Sfortunatamente, allo stadio attuale, il censimento di eventi critici nell ambito del rischio Compliance non è ancora stato rilevato. La determinazione della probabilità per evento di rischio, ad esempio utilizzando una simulazione di Monte-Carlo 12, potrebbe essere fatta fra 5 anni per esempio, a condizione di iniziare a censire, da oggi, ogni incidente. Non sono tuttavia sicura, in considerazione del tipo di evento di rischi che contempla la Compliance, che tale esercizio porti veramente ad un valore aggiunto significativo. Ai fini di una maggior completezza del mio ragionamento ho ritenuto comunque opportuno precisare quest aspetto. Determinare la misura dell impegno da profondere per valutare i numerosi rischi che un istituto deve affrontare è certamente difficile e sfidante. ( ). È fondamentale che le analisi siano razionali e svolte con diligenza. 13 12 Definizione: vedi http://it.wikipedia.org/wiki/metodo_monte_carlo 13 Associazione Italiana Internal Auditors e PWC (2006), La gestione del rischio aziendale, Capitolo «Valutazione del rischio» Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 18
5.4.2 Modello di Scoring della valutazione del rischio inerente Come descritto al capitolo precedente, per ogni evento di rischio è stato assegnato il relativo impatto che l occorrenza di tale evento potrebbe avere (da basso ad alto). Ad ogni impatto corrisponde un punteggio che va da 1 a 5 (1 corrisponde ad un impatto nullo o basso mentre 5 un impatto molto significativo). La variabile probabilità di ogni singolo evento di rischio, non è stata analizzata, volutamente, nel dettaglio per evitare di aggiungere un ulteriore elemento soggettivo. Infatti, la valutazione di questa variabile può essere diversa da istituto a istituto. Pertanto ai fini del presente modello considero l ipotesi che la probabilità di ogni evento sia media/alta (non evidenziato nella relativa Tabella). I fattori di rischio non hanno tutti la medesima rilevanza in termini di valutazione; infatti, il fattore di rischio irreprensibilità, è ponderato 2 volte rispetto agli altri fattori in quanto un suo incorrere potrebbe potenzialmente avere delle conseguenze molto gravi per un istituto bancario (potenziale intervento massiccio da parte dell autorità di vigilanza, ad esempio: attività di enforcement o addirittura messa in liquidazione). La somma dei punteggi di ogni fattore per evento di rischio determina il risultato finale che definisce la valutazione del rischio inerente (basso, medio o alto). Di seguito illustro graficamente il modello di scoring, frutto di un approfondita riflessione personale. Di conseguenza, i fattori, lo scoring, la ponderazione o la valutazione del punteggio finale possono essere adattati alle singole specificità di ogni istituto e sono influenzati anche dalla soggettiva di chi esegue la valutazione (percezione del rischio). Impatto P/L Cliente Mercato Irreprensibilità Sanzioni Normativa Basso 1 1 1 2 1 1 Moderato 2 2 2 4 2 2 Medio 3 3 3 6 3 3 Medio/alto 4 4 4 8 4 4 Alto 5 5 5 10 5 5 Punteggio massimo = 35 Punteggio minimo = 7 Valutazione del rischio inerente 16 Basso > 16 e 25 Medio > 25 Alto Lavoro di diploma - Executive Master in Compliance Management 2012/2013 Pagina 19