competenze e metodologie - airant.itairant.it/pdf/090626-la-funzione-di-conformita-parte-2.pdf ·...
TRANSCRIPT
61
COMPETENZE E METODOLOGIE
• Chiara e formalizzata individuazione e distinzione di ruoli e individuazione e distinzione di ruoli e responsabilitresponsabilit àà ai fini della gestione del rischio a tutti i livelli dell’organizzazione aziendale;
• Istituzione di unun ’’apposita funzioneapposita funzione
• nomina di un responsabilresponsabile aziendale della compliance
• redazione e formalizzazione di un documento internodocumento internoconcernente la funzione di conformità che indichi responsabilità, compiti, modalità operative, flussi informativi, programmazione e risultati dell’attività svolta.
62
COMPETENZE E METODOLOGIE
63
COMPETENZE E METODOLOGIE
64
COMPETENZE E METODOLOGIE
65
• caratterizzato dall’esistenza di una
Funzione di Conformità interna alla
Banca, che svolge senza altri supporti
tutte le attività previste nel processo di
gestione del rischio di non conformità,
con eccezione di quelle di competenza
dei vertici aziendali. Tale modello
richiede l’individuazione di una funzione
ad hoc in grado di operare
autonomamente
� caratterizzato dall’esistenza di una Funzione di
Conformità interna alla Banca, che svolge
direttamente alcune attività (in relazione ad
organico, competenze, dimensioni e
complessità aziendale) mentre per altre si
avvale del supporto di altre funzioni della
Banca, che coordina direttamente al fine di
assicurare unitarietà e coerenza complessiva
d’approccio.
� caratterizzato dall’esternalizzazione della
Funzione a soggetti terzi purché dotati dei
requisiti di professionalità e indipendenza. Il
Responsabile interno svolge un ruolo di
collegamento con l’outsourcer, assicurando il
rispetto delle disposizioni di vigilanza in
materia.
� maggiore tempestività di azione
derivante dalla gestione diretta
� difficoltà di inserimento e sviluppo di una
pluralità di competenze in una sola funzione
� aggravamento del costo del SCI
� minore sfruttamento di eventuali economie di
scala
� creazione di sinergie derivanti dall’utilizzo di professionalità diversificate presenti nei diversi settori aziendali
� difficoltà di riportare all’unitarietà le
azioni/attività svolte da più funzioni aziendali
e/o esterne
� economie di scala derivanti da approcci
standardizzati
� coerenza con il c.d. principio di
proporzionalità, in relazione alle
dimensioni e al tipo di attività della Banca
� limitazione delle duplicazioni e
sovrapposizioni di competenze
� ridotta personalizzazione
� riferimento esclusivo all’outsourcer
Modello accentrato Punti di forza Punti di debolezza
Modello misto
Modello decentrato
Punti di forza Punti di debolezza
Punti di forza Punti di debolezza
COMPETENZE E METODOLOGIE
66
COMPETENZE E METODOLOGIE
67
Il perimetro della Funzione, nel Progetto di Categoria Nazionale, comprende le seguenti normative:
COMPETENZE E METODOLOGIE
I anno
II anno
III anno
IV anno
68
Il dimensionamento della Funzione di Compliance è stato definito in un orizzonte temporale che prevede uno sviluppo progressivo delle competenze
� Antiriciclaggio e Antiterrorismo
� Antiusura
� Privacy
� Servizi di investimento e Market Abuse
� Trasparenza e Tutela del Consumatore
� Intermediazione assicurativa
� Responsabilità amministrativa
degli enti (Banche medie)
� Sicurezza e salute dei lavoratori
� Responsabilità amministrativa
degli enti (Banche piccole)
� Responsabilità amministrativa
degli enti (Banche grandi)
COMPETENZE E METODOLOGIE
69
IR – VC = RRRischio
residuo
Valutazione
dei
controlli
Indice di Rischiosità
potenziale
� Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate
– Preliminare individuazione e valutazione dei “Rischi potenziali” relativi alla non conformità alle norme, condotta attraverso l’attribuzione di un giudizio qualitativo ai seguenti due parametri:
� “peso o significatività”
� “frequenza/probabilità”
– Successiva valutazione dei presidi esistenti in termini di adeguatezza a ridurre entro limiti di accettabilità i rischi individuati
– Determinazione del livello di rischio residuo (scoring) determinata dall’algoritmo di valutazione sulla base della combinazione dei giudizi precedenti
COMPETENZE E METODOLOGIE
70
Determinazione dell’Indice di Rischiosita’ Valutazione delle “Tecniche di controllo”
PesoFrequenzaProbabilità
IndiceRischiosita’potenziale
AssenteInadeguato
In prevalenzaInadeguato
ParzialmenteAdeguato
In prevalenzaAdeguato
Adeguato
CONTINUITA’
ALTO
100 5 5 4 2 0MEDIO
BASSO
ALTO
ALTO 80 4 4 2 1 0
MEDIO 75 4 4 2 1 0
BASSO 70 4 4 2 1 0
MEDIO
ALTO 60 4 2 2 1 0
MEDIO 50 2 2 2 1 0
BASSO 40 2 2 1 1 0
BASSO
ALTO 30 2 1 1 0 0
MEDIO 20 1 1 0 0 0
BASSO 15 1 1 0 0 0
� L’ indice di rischio residuo è determinato tramite la valutazione dell’azione dei controlli posti a presidio del rischio, che
possono abbattere percentualmente il valore del rischio potenziale secondo il criterio riportato in tabella
� Le classi di scoring, sono riassumibili in:
5: il livello del rischio residuo è di continuità;
4: il livello del rischio residuo è elevato;
2: il livello del rischio residuo è mediamente elevato;
1: il livello del rischio residuo è mediamente basso;
0: il livello del rischio residuo è basso.
COMPETENZE E METODOLOGIE
71
COMPETENZE E METODOLOGIE
72
Il rischio di non conformità alle norme è un rischio diffuso
a tutti livelli dell’organizzazione aziendale, soprattutto
all’interno delle linee operative;
l’attività di prevenzione deve svolgersi in primo luogo
dove il rischio medesimo viene generato ed è pertanto
necessaria un’adeguata responsabilizzazione di tutto il
personale.
Disposizioni di vigilanza Banca d’Italia, luglio 2007
COMPETENZE E METODOLOGIE
73
I principali adempimenti che svolge:
Identifica nel continuo delle norme applicabili alla banca
Misura / valuta il loro impatto su processi e procedure aziendali
Propone modifiche organizzative e procedurali finalizzata ad
assicurare adeguato presidio dei rischi di non conformità identificati
Predispone flussi informativi per tutte le strutture interessate (organi
di vertice, revisione interna, gestione del rischio operativo)
Verifica l’efficacia degli adeguamenti organizzativi (strutture,
processi, procedure anche operativi e commerciali) suggeriti per la
prevenzione del rischio di conformità
COMPETENZE E METODOLOGIE
74
COMPETENZE E METODOLOGIE
75
COMPETENZE E METODOLOGIE
76
COMPETENZE E METODOLOGIE
77
COMPETENZE E METODOLOGIE
La funzione di conformità non è una funzione di controllo assimilabile
alle altre. Il tratto distintivo è l’influenza sul governo dei cambiamenti
portati dalle nuove normative.
Tratti distintivi:
-analisi della normativa (anima legale)
-analisi dell’impatto sulle attività aziendali (anima organizzativa)
-controllo di secondo livello sull’allineamento (anima di controllo)
78
COMPETENZE E METODOLOGIE
79
COMPETENZE E METODOLOGIE
80
a) “aspetti strutturali”: policy, organigramma,
funzionigramma, flussi informativi, sistemi a supporto,
perimetro di intervento, rapporti con altre funzioni,
reportistica, modello logico/dati.
b) “aspetti funzionali”: consulenza, formazione,
identificazione e valutazione, monitoring e reporting,
programmi.
c) “aspetti metodologici”: svolgere risk assessment,
selezionare risk indicators, calcolare performance,
manutenere matrice rischi.
COMPETENZE E METODOLOGIE
81
COMPETENZE E METODOLOGIE
82
COMPETENZE E METODOLOGIE
83
COMPETENZE E METODOLOGIE
Definizione del modello organizzativo
Adozione della compliance policy
Commitment, supporto e garanzia di autorevolezza e indipendenza
Adeguamento infrastrutturale
Descrizione formale del processo di compliance
Scomposizione del processo in fasi ed assegnazione alle unità
organizzative aziendali coordinate dal resp. della funzione
84
COMPETENZE E METODOLOGIE
85
COMPETENZE E METODOLOGIE
86
COMPETENZE E METODOLOGIE
Chiara definzione del “trigger event”
Chiara formalizzazione dei flussi informativi
Definizione delle priorità (processi di supporto/processi di business)
Definizione dei referenti di fase, info in input, documentazione in output,
liste di distribuzione, raccordo con fase precedente e successiva, raccordo
con processo a monte
Unità garante del funzionamento degli accordi di servizio
Diffusione della cultura della compliance
87
COMPETENZE E METODOLOGIE
Condivisione del programma di lavoro annuale
Attribuzione responsabilità su norme fuori perimetro
Definizione della valenza di guidelines di categoria
VALORE DELLA DIALETTICA FRA FUNZIONI AZIENDALI
MUTEVOLE EQUILIBRIO FRA NORME E COMPLIANCE POLICY
88
COMPETENZE E METODOLOGIE
acquisizione normativa
validazione delle fonti
lettura ragionata ed emanazione di pareri interpretativi
bozza di impact analisys
contratti
assistenza legale nel continuo
diffusione della cultura della compliance
osservatorio normativo
89
COMPETENZE E METODOLOGIE
assistenza funzione legale in impact analisys
mappatura operativa con business unit su attività impattate
determinazione condivisa dei gap
bozza nuovi processi per concreto adeguamento alla norma
condivisione reingegnerizzazione dei processi
redazione norme interne (regolamenti, procedure, codici condotta)
implementazione nuovi processi (criticità info technology)
assistenza alle funzioni di linea
90
COMPETENZE E METODOLOGIE
assistenza nella mappatura operativa su attività impattate
determinazione condivisa dei gap su sistemi informativi
bozza nuovi processi per concreto adeguamento alla norma
condivisione della reingegnerizzazione dei processi
implementazione su sistemi informativi dei nuovi processi
dotazione di solida infrastruttura tecnologica di sostegno
91
COMPETENZE E METODOLOGIE
disponibilità nella mappatura operativa su attività impattate
segnalazioni su matrice rischio / processo come owners di rischio
svolgimento controlli di linea
evento scatenante: nuovi prodotti, nuove linee di business ecc.
evento scatenante: rapporti con clientela
evento scatenante: variabili di contesto
92
COMPETENZE E METODOLOGIE
condivisione pianificazione attività formativa annuale
condivisione costruzione sistema premiante
individuazione destinatari interventi di formazione
comunicazioni al personale su tematiche di cui sopra
93
COMPETENZE E METODOLOGIE
AGENDA
94
QUADRO NORMATIVO
RISCHIO DI COMPLIANCE
FUNZIONE DI COMPLIANCE NEL SCI
COMPETENZE E METODOLOGIE
REQUISITI
RUOLO DEGLI ORGANI AZIENDALI
95
► Indipendenza
► Autorevolezza
► Professionalità
1) Predisposizione del piano di attività annuale
2) Redazione della relazione annuale e della
relazione reclami
3) Rapporti e comunicazioni con le Autorità di
Vigilanza
4) Coordinamento e supervisione delle attività
svolte da altre strutture organizzative
5) Gestione del budget
6) Tenuta rapporti con Internal Auditing
7) Partecipazione ai Comitati
8) Rapporti con altre funzioni di gruppo
9) Trasmissione informazioni rilevanti
10) Consulenza e assistenza a organi di vertice
11) Supervisione attività in outsourcing
95
REQUISITI
9696
REQUISITI
9797
REQUISITI
9898
REQUISITI
9999
REQUISITI
100100
REQUISITI
101101
REQUISITI
102
Vincoli normativi
-Chiara definizione dei ruoli e
della responsabilità
all’interno della struttura
aziendale
- Istituzione di una apposita
funzione compliance
- Nomina di un Responsabile
della compliance.
Principi guida
-Il Responsabile deve avere un potere
effettivo di intervento sulla struttura e
sui processi aziendali, supportato da una
adeguata collocazione nell’organigramma
aziendale, da meccanismi operativi, dai
sistemi di relazione, dai profili quali-
quantitativi del capitale umano coinvolto
nell’attività
- i modelli organizzativi della compliance
devono essere proporzionati alle
dimensioni e alla complessità operativa
dell’azienda e all’assetto organizzativo e
strategico della gestione dei rischi.
102
REQUISITI
103
� La posizione del Responsabile della compliance nel sistema di
relazioni funzionali e gerarchiche aziendali, così come disegnato
dall’organigramma, deve garantire sia l’assoluta indipendenza
funzionale e gerarchica da soggetti a cui fanno capo funzioni
operative, o comunque funzioni soggette a controlli di
conformità, sia l’accesso completo e diretto agli Organi Societari
� Adeguati meccanismi di coordinamento interno fra il
Responsabile della compliance e le altre funzioni aziendali, di
vertice, di controllo interno e di linea devono garantire
l’efficacia complessiva dell’attività di compliance
103
REQUISITI
104
SOFT SKILLS
� Leadership
�Capacità comunicative scritte e orali
�Capacità di relazione
�Gestione del team
�Sapersi riconvertire
�Spirito di iniziativa
�Autoapprendimento
104
REQUISITI
105
TECNICALITIES
� Competenze Legali
�Competenze organizzative
�Competenze di controllo
�Competenze consulenziali
�Conoscenza del business
�Conoscenza metodologie e strumenti
�Capacità di analisi e formulazione di giudizi
105
REQUISITI
106106
REQUISITI
A.M. Tarantola, Banca d’Italia, 04/10/2007
107107
REQUISITI
A.M. Tarantola, Banca d’Italia, 04/10/2007
108108
REQUISITI
A.M. Tarantola, Banca d’Italia, 04/10/2007
AGENDA
109
QUADRO NORMATIVO
RISCHIO DI COMPLIANCE
FUNZIONE DI COMPLIANCE NEL SCI
COMPETENZE E METODOLOGIE
REQUISITI
RUOLO DEGLI ORGANI AZIENDALI
110
RUOLO DEGLI ORGANI AZIENDALI
111
RUOLO DEGLI ORGANI AZIENDALI
Linee Guida AICOM
112
RUOLO DEGLI ORGANI AZIENDALI
113113
RUOLO DEGLI ORGANI AZIENDALI
114114
RUOLO DEGLI ORGANI AZIENDALI
115115
RUOLO DEGLI ORGANI AZIENDALI
116116
RUOLO DEGLI ORGANI AZIENDALI
117117
RUOLO DEGLI ORGANI AZIENDALI
118118
RUOLO DEGLI ORGANI AZIENDALI
119119
RUOLO DEGLI ORGANI AZIENDALI
SINTESI
� Supervisione complessiva del sistema dei controlli e della conformità
� Approvazione delle politiche di gestione del rischio compliance
� Costituzione della funzione di conformità e regolamentazione interna
� Nomina del Responsabile della funzione di compliance
� Valutazione annuale dell’adeguatezza della funzione di compliance
120120
RUOLO DEGLI ORGANI AZIENDALI
SINTESI� Assicurare un’efficace gestione del rischio di compliance
� Definire adeguate politiche e procedure interne
� Definire compiti e responsabilità e presa di coscienza
� Definire flussi informativi
� Assicurare l’osservanza delle procedure
� Accertare che siano apportati rimedi a carenze
� Identificare e valutare annualmente rischi e interventi mediante un piano
� Riferire al Cda sull’adeguatezza della funzione annualmente
� Informare il Cda tempestivamente di ogni violazione
� Predisposizione di un documento interno che indichi responsabilità, compiti,
modalità operative, flussi informativi, programmazione e risultati dell’attività
svolta dalla funzione di conformità.
121121
RUOLO DEGLI ORGANI AZIENDALI
DOCUMENTO CONTENUTI REDIGENTE CADENZA
POLITICHE Linee guida per la gestione
del rischio
Delibera CDA Una tantum
DOCUMENTO
INTERNO
Regolamento della funzione,
procedure, flussi informativi
Delibera CDA Una tantum
VALUTAZIONE
ADEGUATEZZA
Valutazione adeguatezza
della funzione in base a
informazioni riferite dalla
Direzione Generale
Delibera CDA Annuale
INFO SU
ADEGUATEZZA
Valutazione di adeguatezza
della funzione
Direttore con
supporto RC
Annuale
PIANO ANNUALE Rischi rilevati, interventi
programmati, nuovi rischi
Direttore con
supporto RC
Annuale
122
RUOLO DEGLI ORGANI AZIENDALI
123
RELAZIONE ANNUALE
Consuntivo
1. L’obiettivo dell’attività di compliance
2. Il perimetro normativo oggetto dell’attività annuale
3. L’approccio metodologico adottato per la valutazione della conformità
dell’operatività alle norme
4. I limiti dell’analisi effettuata
5. La rappresentazione delle attività condotte
6. I risultati dell’attività della Funzione espressi in termini di:
• Esposizione complessiva al rischio di non conformità alle norme
• Valutazione complessiva dell’adeguatezza e della funzionalità delle
misure organizzative adottate a prevenzione dei rischi di non conformità
• Valutazione analitica delle principali criticità individuate e dei piani di
mitigazione proposti
• Follow up sulle iniziative di potenziamento delle misure organizzative a
presidio dei rischi di non conformità
123
RUOLO DEGLI ORGANI AZIENDALI
124
RELAZIONE ANNUALE
Pianificazione
1. L’obiettivo dell’attività di compliance pianificata
2. Il perimetro normativo relativo
3. L’approccio metodologico
4. Le attività previste, i tempi e le risorse necessarie
- Attività di controllo
- Attività di consulenza
- Attività di formazione
5. Il reporting dei risultati infrannuali
124
RUOLO DEGLI ORGANI AZIENDALI
125
RELAZIONE ANNUALE
Richieste/piani di investimento/sviluppo di breve/medio
termine della funzione in relazione alle esigenze
dell’attività in corso/pianificata
Descrizione dei piani e costruzione di un budget per il
potenziamento del dimensionamento quali-quantitativo
della funzione, l’investimento in nuovi strumenti di
controllo o richieste di consulenza.
125
RUOLO DEGLI ORGANI AZIENDALI