le funzione di conformità alle norme nell’ambito del...
TRANSCRIPT
Le funzione di conformità alle norme nell’ambito del Sistema dei Controlli Interni delle Banche
a cura di Francesco Manganaro
1
11 Gennaio 2014
2
• Il Sistema dei Controlli Interni, la gestione dei rischi, i principi di corporate governance, etc. per gli intermediaricreditizi sono stati impattati nel tempo da una proliferazione di norme che ha richiesto un continuo eprogressivo adeguamento da parte delle banche e dei gruppi bancari al fine di garantire una sana e prudentegestione, nonché la stabilità del sistema finanziario
• Da ultimo il 2 luglio 2013 Banca d’Italia ha emanato le nuove Disposizio ni di Vigilanza prudenziale per leBanche, in materia di «Sistema dei controlli Interni, Siste ma informativo e Continuità operativa» (15°aggiornamento della Circ. 263/2006) che, oltre a prevedere significative novità, costituiscono un compendioorganico rispetto alla frammentazione normativa preesistente. La nuova disciplina intende infatti razionalizzareil quadro normativo preesistente alla luce dei provvedimenti emanati in materia negli ultimi anni
• In tale contesto, il presente seminario si propone l’obiettivo di:
Obiettivo del seminario
Rappresentare sinteticamente il contesto evolutivo della normativa in materia di SCI
Illustrare le caratteristiche essenziali di Sistema dei Controlli Interni
Analizzare le caratteristiche della Funzione di Compliance
1
2
3
4
• Con la circolare di Banca d’Italia sulsistema dei controlli interni del 1999, èstato avviato un percorso evolutivo che si èarticolato mediante la progressivaintroduzione da parte delle Autorità diVigilanza di principi e presidi volti a renderesempre più efficace e solido il complessivoSistema dei Controlli Interni
• Tale percorso ha condotto alla proliferazionedi strutture organizzative di controllo , conresponsabilità che possono risultare in alcunicasi in sovrapposizione fra loro ridondanti
• Il quadro delineatosi ha richiesto – in un’otticadi consolidamento ed evoluzione del Sistemadei Controlli Interni – l’esigenza di uncomplessivo efficientamento delle strutture edei presidi di controllo, con una visioneunitaria delle esigenze e delle prioritàdell’intermediario
Quadro normativo di riferimentoEvoluzione del contesto esternoEvoluzione del contesto esternoEvoluzione del contesto esternoEvoluzione del contesto esterno
DIRETTIVE EUROPEE
2005/60/CE
2006/70/CE
Istruzioni di Vigilanza - Sistema dei controlli interni
Revisione disposizioni di vigilanza in materia di
organizzazione e controlli interni
Governance, compliance e controlli interni per il rischio
riciclaggio
La funzione di conformità
D.Lgs 231/2001 – Modello Organizzativo e OdV
L. 262/05 Riforma del risparmio - Dirigente Preposto
Governo societario
Circ. 263 Nuove disposizioni di vigilanza prudenziale per le banche
1999
2001
2005
2006
2007
2008
2010
2013
GLI STEP PRINCIPALI DEL PERCORSO EVOLUTIVO
5
• Le nuove disposizioni sono state inserite nel 15° aggiornamento della Circolare 263 del 2006 ed in particolarenel Titolo V il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» ed il Capitolo9 «la continuità operativa»
Allineamento alla direttiva comunitaria
(CRD IV)
Definizione di un quadro normativo omogeneo basato sul criterio della proporzionalità
Rafforzamento della capacità
delle banche di gestire i rischi
Revisione organica
dell’attuale quadro
normativo
15° aggiornamento alle Nuove Disposizioni di Vigilanza prudenziale
Obiettivi
Quadro normativo di riferimentoLe nuove Disposizioni di VigilanzaLe nuove Disposizioni di VigilanzaLe nuove Disposizioni di VigilanzaLe nuove Disposizioni di Vigilanza
6
Quadro di riferimento normativoIl coordinamento con le normative preesistenti alla nuova disciplinaIl coordinamento con le normative preesistenti alla nuova disciplinaIl coordinamento con le normative preesistenti alla nuova disciplinaIl coordinamento con le normative preesistenti alla nuova disciplina
• Circolare 229 del 1999 «Istruzioni di vigilanza per le banche - Sistema dei controlli interni,compiti del collegio sindacale»
• La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle “Nuovedisposizioni di vigilanza prudenziale per le banche”, Circolare n. 263
• Disposizioni di vigilanza - la funzione di controllo di conformità alle norme delle banche(Comunicazione del 10 luglio 2007);
• Disposizioni di vigilanza – Esternalizzazione del trattamento del contante (Comunicazione del7 maggio 2007);
• Disposizioni di vigilanza – Continuità operativa in casi di emergenza (Comunicazione del luglio2004);
• Disposizioni di vigilanza – Requisiti particolari per la continuità operativa dei processi dirilevanza sistemica (Comunicazione del marzo 2007)
• Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito, limitatamente agliaspetti concernenti le banche e le capogruppo di gruppi bancari
Norme abrogate
• Nell’ambito del percorso di adeguamento le norme abrogate, perché superate dalle nuove disposizioni, sono:
• Le nuove Disposizioni non abrogano invece il Provvedimento recante disposizioni attuative in materia diorganizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggettiche svolgono attività finanziaria ai fini di riciclaggio e di finanziamento del terrorismo ai sensi del D. Lgs.231/2007 del 10 marzo 2011 nonché la normativa congiuntamente emanata da Consob in materia diprestazione dei servizi di investimento
7
5. COMPLIANCE• Ampliamento del perimetro normativo della
funzione• Ausilio alle strutture aziendali nella definizione
delle metodologie di valutazione dei rischi di compliance
• Presidi aziendali specialistici• Rafforzamento obblighi reporting a Banca
d’Italia
7. ICT
• Definizione/revisione organizzazione ICT• Introduzione di un modello di gestione integrata dei
Rischi Informatici• Introduzione di un modello di gestione dei dati
(Data Governance)• Definizione/Revisione criteri specifici per
l’esternalizzazione di sistemi e servizi ICT ivi incluso l’outsourcing in modalità cloud computing
• Obbligo di predisposizione dei Documenti aziendali per la gestione e il controllo ICT (Allegato A)
• Implementazione di misure in materia di servizi telematici
• Obbligo di reporting verso Banca d’Italia dei controlli svolti da parte dell’internal Auditing nei confronti dell’outsourcer
• Rafforzamento requisiti in tema di Continuità Operativa
• Obbligo in termini di segregazione dei compiti• Obbligo di tracciatura delle transazioni (critiche)
4. INTERNAL AUDIT
• Collocazione organizzativa • Assetto organizzativo controlli IA• Rafforzamento compiti di controllo su
metodologie di valutazione delle attività, riskmanagement, su criticità identificate dalla società di revisione legale
• Rafforzamento obblighi di reporting verso Banca d’Italia
• Pianificazione in funzioni dei rischi
6. RISK MANAGEMENT
• Collocazione organizzativa• Rafforzamento dei poteri del Risk Management • Definizione politiche di governo dei rischi e relativi
processi• Sviluppo indicatori di controllo• Analisi nuovi prodotti/servizi/nuovi mercati• Rafforzamento obblighi di reporting verso Bankit
1. GOVERNANCE
• Codice etico • Risk Appetite Framework • Operazioni di maggiorie rilievo• Nomina e revoca funzioni di controllo• Assegnazione al Collegio Sindacale dell’OdV
231/01• Documento SCI• Product approval• Verifica annuale compliance SCI
3. ORGANIZZAZIONE
• Approccio integrato alla gestione dei rischi • Definizione dei controlli di linea• Disciplina organica in materia di esternalizzazione
di funzioni aziendali• Regole e procedure per la valutazione delle attività
2. PERSONALE
• Definizione percorsi formativi• Procedure di valutazione quali quantitativa del
personale delle funzioni di controllo• Consulenze per le funzioni di controllo
Le Nuove DisposizioniI principali impattiI principali impattiI principali impattiI principali impatti
• Banca d’Italia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini diadeguamento
• Sono previste scadenze differenziate a seconda dell’intervento oggetto di adeguamento
• Le banche sono chiamate ad adeguarsi alle nuove disposizioni, tenendo in considerazione il principio diproporzionalità
1 luglio 2014Termine generale perl’adeguamento alledisposizioni di cui alCapitolo 7 (SCI) e alCapitolo 9 (ContinuitàOperativa)
2 luglio 2013
Emanazione Disposizioni di vigilanza
1 luglio 2015Termine perl’adeguamento delcollocamentoorganizzativo dellefunzioni di controllo disecondo livello (lineedi riporto)
1 luglio 2016Termine perl’adeguamento deicontratti diesternalizzazione airequisiti previsti dalledisposizioni31 gennaio 2014
Termine autovalutazione e inoltro a Bankit della relativa
relazione e contratti di esternalizzazione
20132013 20142014 20152015 20162016
1 Febbraio 2015Termine generaleper l’adeguamentoalle disposizioni dicui al Capitolo 8(SistemaInformativo)
Termini per l’adeguamento
Le Nuove DisposizioniLe tempistiche per l’adeguamentoLe tempistiche per l’adeguamentoLe tempistiche per l’adeguamentoLe tempistiche per l’adeguamento
8
Le Nuove DisposizioniLa relazione di autovalutazioneLa relazione di autovalutazioneLa relazione di autovalutazioneLa relazione di autovalutazione
• Nell’immediato Banca d’Italia ha richiesto alle banche di predisporre una relazione contenente
un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa
• La relazione di autovalutazione da inviare entro il 31 gennaio 2014 dovrà contenere:
• i risultati della diagnosi della propria situazione aziendale rispetto alle previsioni della nuova normativa
(gap analysis)
• le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle nuove
disposizioni
9
• Per garantire una sana e prudente gestione, le banche devono coniugare nel tempo la profittabilitàdell'impresa con un'assunzione dei rischi consapevole e compatibile con le condizioni economico-patrimoniali,nonché con una condotta operativa improntata a criteri di correttezza
• A tal fine è indispensabile che le banche si dotino di adeguati sistemi di rilevazione, misurazione e controllo deirischi, coerentemente con le proprie dimensioni e la complessità della propria operatività
• Il Sistema dei Controlli Interni (SCI) è costituito dall'insieme delle regole , delle funzioni , delle strutture ,delle risorse , dei processi e delle procedure che mirano ad assicurare il rispetto della sana e prudentegestione, il conseguimento delle seguenti finalità
Verifica attuazione delle strategie e delle
politiche aziendali
salvaguardia del valore delle attività e protezione dalle
perdite
Contenimento del rischio entro i limiti indicati
nel RiskAppetite
Framework
Salvaguardia del valore
delle attività e protezione
delle perdite
Efficacia ed efficienza dei
processi aziendali
Affidabilità e sicurezza
delle informazioni aziendali e
delle procedure
informatiche
Prevenzione del rischio che
la banca sia coinvolta in
attività illecite (antiriciclaggio
, usura, etc.)
Conformità operazioni con
la legge e la normativa di
Vigilanza, con le politiche,
regolamenti e procedure
interne
11
Il Sistema dei controlli interniDefinizioniDefinizioniDefinizioniDefinizioni
• Vengono distinte tre diverse tipologie di controllo, a prescindere dalle strutture organizzative in cui sonocollocate:
1° livelloControlli di linea
2° livelloRisk Management,
Compliance, Antiriciclaggio
DP ex Lege 262/05
3° livello InternalAudit
• i controlli di linea, diretti ad assicurare il corretto svolgimentodelle operazioni. Sono effettuati dalle stesse struttureoperative (ad es: controlli di tipo gerarchico, sistematici e acampione), anche attraverso unità dedicate esclusivamente acompiti di controllo che riportano ai responsabili delle struttureoperative, ovvero eseguiti nell’ambito del back office; perquanto possibile, sono incorporati nelle procedureinformatiche
• i controlli sui rischi e sulla conformità, hanno l'obiettivo diassicurare la corretta attuazione del processo di gestione deirischi, il rispetto dei limiti operativi assegnati alle varie funzioni,la conformità dell’operatività aziendale alle norme, inclusequelle di autoregolamentazione. Le funzioni preposte a talicontrolli sono distinte da quelle produttive e concorrono alladefinizione delle politiche di governo dei rischi e del processodi gestione dei rischi
• l’attività di revisione interna, volta a individuare violazionidelle procedure e della regolamentazione nonché a valutareperiodicamente la completezza, l’adeguatezza, la funzionalità(in termini di efficienza ed efficacia) e l’affidabilità del sistemadei controlli interni e del sistema informativo (ICT audit), concadenza prefissata in relazione alla natura e all’intensità deirischi
12
Il Sistema dei controlli interniLa piramideLa piramideLa piramideLa piramide
CDA
Alta Direzione
Aree operative
Controlli di lineaAree operative
Controlli di lineaAree operative
Controlli di linea
ComplianceControlli sulla gestione dei rischi
Risk ManagementControlli sulla gestione dei rischi
Internal Auditing
Controlli di revisione interna
Collegio Sindacale
AntiriciclaggioControlli sulla gestione dei rischi
Il Sistema dei controlli interniCollocazione organizzativa delle funzioni di controlloCollocazione organizzativa delle funzioni di controlloCollocazione organizzativa delle funzioni di controlloCollocazione organizzativa delle funzioni di controllo
13
• Possiedono requisiti di professionalità adeguati
• Sono collocati in posizione gerarchico-funzionale adeguata
• Non hanno responsabilità diretta di aree operative sottoposte a controllo
• Sono nominati e revocati dal CdA• sentito il Collegio Sindacale
• Riferiscono direttamente agli organi aziendali
14
• Le Banche istituiscono funzioni aziendali di controllo (funzioni di gestione dei rischi e funzione di revisioneinterna) permanenti e indipendenti
• Competenza e Autorità• Risorse economiche adeguate,
eventualmente attivabili in autonomia• Accesso ai dati aziendali e a quelli
esterni • Tra loro separate (le funzioni di
controllo di secondo livello sono separate dalla funzione IA)
• Funzioni di controllo di secondo livello affidate ad unica struttura
• Possono essere affidatead un outsourcer esterno
• Collaborano tra loro e conle altre funzioni con lo scopodi sviluppare metodologie dicontrollo coerenti con le strategiee l’operatività aziendale
• Compiti e responsabilità dellefunzioni comunicati all’interaorganizzazione aziendale
• Articolazione dei flussi informativi trale funzioni aziendali di controllo (flussiinformativi tra le funzioniesternalizzate e tra queste ed ireferenti interni alle banche
• Politiche di gestione delle risorse umane volte ad assicurare che il personale sia provvisto di adeguate competenze
• Linee guida per l’aggiornamento delle risorse e per la definizione dei programmi di formazione continua
• Il personale che partecipa alle funzioni di controllo non deve essere coinvolto in attività che tali funzioni sono chiamate a controllare
Requisiti delle funzioni di controllo
Responsabili delle funzioni di controllo
Gestione del personale
Coordinamento delle funzioni di controllo
Il Sistema dei controlli interniPrincipali caratteristiche delle funzioni di controlloPrincipali caratteristiche delle funzioni di controlloPrincipali caratteristiche delle funzioni di controlloPrincipali caratteristiche delle funzioni di controllo
• Per ciascuna funzione aziendale di controllo la regolamentazione interna indica responsabilità, compiti,modalità operative, flussi informativi, programmazione dell’attività di controllo, in particolare:
Funzione di controllo di 2° livello
• Funzione di Conformità alle norme (Compliance)• Funzione di controllo dei rischi (Risk
Management)• Funzione Antiriciclaggio
Funzione di controllo di 3° livello
• Funzione di revisione interna (Internal Audit)
• presentano annualmente agli organi aziendali,ciascuna in base alle rispettive competenze, unprogramma di attività , in cui sono identificati evalutati i principali rischi a cui la banca è espostae sono programmati i relativi interventi digestione. La programmazione degli interventitiene conto sia delle eventuali carenze emersenei controlli, sia di eventuali nuovi rischiidentificati
• la funzione di revisione interna presentaannualmente agli organi aziendali un piano diaudit , che indica le attività di controllo pianificate,tenuto conto dei rischi delle varie attività estrutture aziendali; il piano contiene una specificasezione relativa all’attività di revisione del sistemainformativo (ICT auditing)
Flussi informativi vs organi aziendali
• Le Funzioni aziendali di controllo, annualmente :• presentano agli organi aziendali una relazione dell’attività svolta , che illustra le verifiche
effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottareper la loro rimozione
• riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza,adeguatezza, funzionalità e affidabilità del sistema dei controlli interni
• in ogni caso, informano tempestivamente gli organi aziendali su ogni violazione o carenzarilevante riscontrate
15
Il Sistema dei controlli interniProgrammazione e rendicontazione delle funzioni di controlloProgrammazione e rendicontazione delle funzioni di controlloProgrammazione e rendicontazione delle funzioni di controlloProgrammazione e rendicontazione delle funzioni di controllo
Il rischio di non conformità alle norme, diffuso a tutti i livelli dell’organizzazione aziendale, è il rischiodi incorrere in taluni effetti avversi, in conseguenza di violazioni di norme imperative (di legge o diregolamenti) ovvero di autoregolamentazione (es: codici di condotta, codici di autodisciplina)
La Funzione di Compliance presiede alla gestione del rischio di non conformità alle norme,verificando che le procedure interne siano adeguate a prevenire tale rischio.
Organizzazione della Funzione ComplianceIl rischio di non conformità alle normeIl rischio di non conformità alle normeIl rischio di non conformità alle normeIl rischio di non conformità alle norme
Sanzioni giudiziarie o amministrative
Perdite finanziarie rilevanti
Danni di reputazione
EffettiAvversi
Organizzazione della Funzione ComplianceLa Compliance nei gruppi bancariLa Compliance nei gruppi bancariLa Compliance nei gruppi bancariLa Compliance nei gruppi bancari
18
la Capogruppo emana “Linee guida per la nomina delCompliance Officer nelle Società del Gruppo eadeguamento della Funzione Compliance” rimettendo incapo al Consiglio di Amministrazione di ciascuna Societàla responsabilità di effettuare la scelta del Modelloorganizzativo da adottare
Tipicamente le Società bancarie del Gruppo, soggette allanomina della Funzione di Conformità, optano per ilModello organizzativo accentrato conl’esternalizzazione della Funzione di Conformità dicapogruppo , in ragione di fattori quali• dimensioni aziendali delle singole Società facenti parte
del Gruppo• economie di scala realizzabili con l’accentramento della
Funzione• complessiva operatività ed i profili professionali in
organico e contestualmente l’opportunità di ricorrere aprofessionalità e competenze presenti in Capogruppo
• possibilità di avvalersi di una Funzione di Gruppo cheoperi con univocità ed omogeneità nella formulazionedegli indirizzi per la gestione di tutte le componentidella conformità
Le Società altre società del Gruppo nominano propriCompliance Officer residenti, ottemperando nel contempoalle linee guida di Gruppo
Modello Accentrato
Le responsabilità sono accentrate presso la Funzionedi Compliance di Capogruppo
Presso le Controllate è individuato un REFERENTEche svolge funzioni di collegamento con ilResponsabile della Funzione di Compliance
Modello Decentrato
Le responsabilità relative alle decisioni strategiche alivello di Gruppo in materia di compliance sonorimesse agli organi aziendali della Capogruppo
Presso ciascuna Controllata viene istituita la Funzionedi Compliance e nominato un RESPONSABILE che,sulla base delle linee d’indirizzo della Capogruppo, èresponsabile del presidio del rischio di non conformitàin ambito aziendale
Misto
Le responsabilità relative alle decisioni strategiche alivello di Gruppo in materia di compliance sonorimesse agli organi aziendali della Capogruppo
Presso alcune Controllate viene istituita la Funzione diCompliance e nominato un RESPONSABILE; talunealtre esternalizzano la Funzione di Conformità alaCapogruppo nominando un REFERENTE
Organizzazione della Funzione ComplianceLa La La La gestione operativa del processo di compliancegestione operativa del processo di compliancegestione operativa del processo di compliancegestione operativa del processo di compliance
• caratterizzato dall’esistenza di una Funzione di Conformità interna alla Società, che svolge senza altri supporti tutte le attività previste nel processo di gestione del rischio di non conformità, con eccezione di quelle di competenza dei vertici aziendali. Tale modello richiede l’individuazione di una Funzione ad hoc in grado di operare autonomamente
• caratterizzato dall’esistenza di una Funzione di Conformità interna alla Società, che svolge direttamente alcune attività (in relazione ad organico, competenze, dimensioni e complessità aziendale) mentre per altre si avvale del supporto di altre Funzioni aziendali (es: Legale), che coordina direttamente al fine di assicurare unitarietà e coerenza complessiva d’approccio
• caratterizzato dall’esternalizzazione della Funzione a soggetti terzi purché dotati dei requisiti di professionalità e indipendenza. Il Responsabile interno svolge un ruolo di collegamento con l’outsourcer, assicurando il rispetto delle disposizioni di vigilanza in materia
• elevata sensibilità aziendale• maggiore tempestività di azione
derivante dalla gestione diretta
• difficoltà di inserimento e sviluppo di una pluralità di competenze in una sola Funzione
• aggravamento del costo del SCI • minore sfruttamento di eventuali
economie di scala
• creazione di sinergie derivanti dall’utilizzo di professionalità diversificate presenti nei diversi settori aziendali
• coerenza con il c.d. principio di proporzionalità, in relazione alle dimensioni e al tipo di attività della Società
• limitazione delle duplicazioni e sovrapposizioni di competenze
• difficoltà di riportare all’unitarietà le azioni/attività svolte da più funzioni aziendali e/o esterne
• economie di scala derivanti da approcci standardizzati
• implementazione di soluzioni già verificate per le quali si potrà beneficiare delle esperienze altrui
• ridotta personalizzazione• riferimento esclusivo all’outsourcer• basso committment della Società e
ridotta incidenza di azione
Soluzione accentrata Punti di forza Punti di debolezza
Soluzione mista
Soluzione esternalizzata
Punti di forza Punti di debolezza
Punti di forza Punti di debolezza
19
Principali responsabilità
• I principali adempimenti che la Funzione è chiamata a svolgere sono:
a) ausilio alle strutture aziendali per definizione di metodologie di valutazione dei rischi di compliance
b) Individuazione di idonee procedure per la prevenzione del rischio e verifica della loro adeguatezza eapplicazione
c) identificazione nel continuo delle norme applicabili, misurazione/valutazione del loro impatto
d) proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischiidentificati
e) predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte
f) verifica dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di compliance
g) coinvolgimento nella valutazione ex-ante della conformità alla regolamentazione applicabile di tutti iprogetti innovativi, nonché nella prevenzione e gestione dei conflitti di interesse sia tra le attività svoltedalla banca sia con riferimento a dipendenti ed esponenti aziendali
h) consulenza nei confronti degli organi aziendali in tutte le materie in cui assume rilievo il rischio dicompliance e collaborazione attiva nella formazione del personale
20
Organizzazione della Funzione ComplianceLe responsabilità della FunzioneLe responsabilità della FunzioneLe responsabilità della FunzioneLe responsabilità della Funzione
La Funzione Compliance presiede, secondo un approccio risk based, alla gestione del rischio di nonconformità con riguardo a tutte le disposizioni normative applicabili alle banche, verificando che leprocedure interne siano adeguate a prevenire il rischio. Il ruolo della funzione può essere graduato inrelazione sia al rilievo delle singole norme sia all’esistenza di presidi specifici sulla normativaspecifica (ad. es. normativa Fiscale)
Le attività della Funzione di Compliance possono essere suddivise in quattro macro tipologie:
1. Consulenza
1.3 spot
3.1 individuazione fabbisogni
3. Formazione
2.1 sui processi
2.2 sui comportamenti
2. Controlli
Consulenza volta a fornire pareri in merito a quesiti di natura normativa connessi all’operatività
Consulenza nella gestione del cambiamento, volta alla definizione di linee guida applicative e allaverifica dell’adeguatezza delle misure organizzative sviluppate dall’azienda a fronte dellemodificazioni intervenute in termini di nuove normative e/o di nuovi prodotti/servizi/processi, primadell’adozione delle stesse da parte delle strutture organizzative
Verifiche di esistenza/adeguatezza dei presidi organizzativi già adottati a presidio dei rischi di nonconformità
Verifiche sui comportamenti osservati finalizzate a monitorare l’efficacia degli adeguamentiorganizzativi suggeriti per la prevenzione del rischio di non conformità
Valutazione in merito alla completezza dei piani formativi rispetto alle necessità formative dellerisorse
1.2 progettuale
4. Altre attività
4.1 conflitti d’interesse
4.2 sistema premiante
4.3 relazioni Consob
Consulenza in materia di prevenzione e gestione dei conflitti di interesse sia tra le diverse attivitàsvolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali
Verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazionedel personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali codici etici oaltri standard di condotta applicabili alla banca
Predisposizione delle relazioni alla Consob obbligatorie ai sensi della normativa sui servizi diinvestimento
3.2 progettazione Collaborazione con la Funzione Risorse Umane per la predisposizione dei contenuti dellaformazione, valutando la completezza degli argomenti trattati
Consulenza volta a individuare nel continuo le variazioni del quadro normativo di riferimento (legalinventory) e la conseguente misurazione/valutazione del loro impatto su processi e procedureaziendali
1.1 Legal Inventory
Organizzazione della Funzione ComplianceI «mestieri» della funzioneI «mestieri» della funzioneI «mestieri» della funzioneI «mestieri» della funzione
21
• La Funzione di Compliance è direttamente responsabile della gestione del rischio di non conformità conriferimento a norme più rilevanti che disciplinano attività bancaria e di intermediazione (es. Trasparenza, Usura,MiFID, etc.)
• Le nuove disposizioni di vigilanza evidenziano la possibilità di graduare i compiti della Funzione di Compliance,per le normative per le quali siano già previste forme specifiche di presidio specializzato (es. normativa sullasicurezza sul lavoro, in materia di trattamento dei dati personali, normativa fiscale, ecc.). La funzioneCompliance rimane almeno responsabile della definizione delle metodologie di valutazione del rischio e delladefinizione delle relative procedure
• Possono essere individuati presidi aziendali specialistici , con il compito, per le normative fuori perimetro coredella Funzione, di assicurare, nel continuo, la conformità dei comportamenti alla normativa di riferimento e difornire alla Funzione Compliance giudizi/ dati quantitativi/ esiti sull’attività svolta
22
•
• SERVIZI DI INVESTIMENTO• CONFLITTI DI INTERESSE• MARKET ABUSE• TRASPARENZA• SISTEMI DI REMUNERAZIONE• OPERAZIONI CON PARTI CORRELATE• ANTIUSURA• ANTIRICICLAGGIO• ...
NORME RESPONSABILITA’ DIRETTA COMPLIANCE
CONTABILITÀ E BILANCIO
SEGNALAZIONI DI VIGILANZA
FISCALE
SICUREZZA SUI LUOGHI DILAVORO
ICAAP
GETIONE DEI CONTENZIOSI
…
RESPONSABILITÀ AMMINISTRATIVA
DEGLI ENTI
PRIVACY
Organizzazione della Funzione ComplianceEvoiluzione del perimetro di complianceEvoiluzione del perimetro di complianceEvoiluzione del perimetro di complianceEvoiluzione del perimetro di compliance
Alla luce del principio di proporzionalità e, in presenza dei necessari vincoli dimensionali, la Funzione diCompliance può essere esternalizzata a soggetti terzi dotati di requisiti idonei in termini diprofessionalità e indipendenza. In tal caso l’accordo di esternalizzazione deve definire:
gli obiettivi, la metodologia e la frequenza dei controlli;
le modalità e la frequenza della reportistica dovuta al referente per l’attività esternalizzata e agliorgani aziendali sulle verifiche effettuate. gli obblighi di riservatezza delle informazioni acquisitenell’esercizio della funzione;
i collegamenti con le attività svolte dall’organo con funzione di controllo;
la possibilità di richiedere specifiche attività di controllo al verificarsi di esigenze improvvise;
la proprietà esclusiva della banca dei risultati dei controlli.
In caso di esternalizzazione la banca nomina uno specifico referente interno cui si applicano lemedesime disposizioni in materia di linee di riporto e dipendenza gerarchica/funzionale previste per ilResponsabile della Funzione di Compliance. Il fornitore di servizi presso cui si intendono esternalizzarele funzioni aziendali di controllo rispetta le seguenti condizioni:
è indipendente rispetto alla banca presso la quale assume l’incarico e non cumula incarichirelativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppobancario;
non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi afunzioni aziendali di controllo e attività che sarebbe chiamato a controllare in qualità di fornitore diservizi;
non svolge la funzione di revisione legale dei conti per la banca o per altre società del gruppo.
23
Organizzazione della Funzione ComplianceEsternalizzazioneEsternalizzazioneEsternalizzazioneEsternalizzazione
La “metodologia di valutazione” è basata sull’utilizzo di un approccio per rischi e per tipologia dinormativa ed è finalizzata alla determinazione della rischiosità residuale alla quale è esposta laSocietà, con la conseguente identificazione delle possibili perdite potenziali
Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sullacorretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate:
Identificazione dei rischi di non conformità e la valutazione della corrispondente rischiositàpotenziale, condotta sulla base di considerazioni qualitative con riferimento agli effetti avversi chedal manifestarsi del rischio possono scaturire e determinata sulla base dei seguenti parametri:
“impatto/ significatività”
“frequenza/ probabilità”
Analisi e valutazione dei presidi sui rischi di non conformità, attraverso l’esecuzione delle verifichedi compliance e la successiva valutazione dei presidi che scaturisce dal mero giudizioprofessionale dei valutatori
Determinazione della rischiosità residuale (scoring) mediante l’algoritmo di valutazione dato dallacombinazione dei giudizi precedenti ovvero:
24
Metodologie e strumentiApproccio metodologico
Scoring = Indice di rischiosità potenziale – Valutazione dei presidi
Il Rischio Potenziale rappresenta la valutazione sintetica del singolo evento rischioso il cuimanifestarsi, alla violazione della norma, potrebbe provocare un danno diretto o indiretto di naturaeconomico-finanziaria, patrimoniale, sanzionatoria o d’immagine verso l’esterno; è rilevato nell’ambitodelle attività della Società e risulta indipendente dai presidi implementati, che potranno,eventualmente, solo mitigarne o prevenirne gli effetti
25
Metodologie e strumentiApproccio metodologico
Impa
tto/ s
igni
ficat
ività
Rischio Potenziale
Rischio Potenziale = ƒ (impatto; frequenza)
Frequenza/ Probabilità
26
Metodologie e strumentiApproccio metodologico
Intensità del danno potenzialmente derivante dallamanifestazione del rischio
Impatto/ significatività Frequenza/ Probabilità
Stima del numero di volte o della possibilità che ilrischio possa manifestarsi
4 livelli di impatto 3 livelli di frequenza
Impatto / significativitàFrequenza/
ProbabilitàIndice di rischiosità potenziale
MOLTO SIGNIFICATIVO SOSTENUTA
MOLTO ALTOMOLTO SIGNIFICATIVO MODERATA
SIGNIFICATIVO SOSTENUTA
MOLTO SIGNIFICATIVO LIMITATA
ALTOSIGNIFICATIVO MODERATA
SIGNIFICATIVO LIMITATA
MISURATO SOSTENUTA
MEDIOMISURATO MODERATA
CONTENUTO SOSTENUTA
MISURATO LIMITATA
BASSOCONTENUTO MODERATA
CONTENUTO LIMITATA
I risultati conseguiti con le verifiche permettono di pervenire alla valutazione dei presidi sui rischi dinon conformità
27
Metodologie e strumentiApproccio metodologico
Conforme
Prevalentemente Conforme
Prevalentemente Non Conforme
Non Conforme
Compliance Programm
Val
utaz
ione
dei
pre
sidi
L’indice di rischio residuo rappresenta la valutazione sintetica del singolo evento rischioso (il cuimanifestarsi potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria,patrimoniale, sanzionatoria o d’immagine verso l’esterno), data la struttura e l’adeguatezza dei presidiesistenti e l’aderenza dei comportamenti alle disposizioni normative. L’indice di rischio residuo,rappresenta dunque una valutazione qualitativa del rischio a cui l’azienda rimane esposta a valle deipresidi predisposti
28
Metodologie e strumentiApproccio metodologico
Frequenza/ Probabilità
Impa
tto/ s
igni
ficat
ività
Rischio Potenziale
Rischio Residuo
Valutazione del presidio
Legenda:
Lo scoring è articolato in classi numeriche, espresse in ordine crescente di negatività, sulla basedell’opportunità di intraprendere iniziative atte a ridurre il rischio residuo e pertanto circoscrivere lepossibili perdite potenziali. In termini concettuali, ciascun scoring rappresenta un giudizio sintetico sulrispetto della conformità alle norme
29
Metodologie e strumentiApproccio metodologico
Indice rischiosit àpotenziale
Valutazione dei presidi
Non ConformePrevalentemente Non Conforme
Prevalentemente Conforme
Conforme
MOLTO ALTO 5 4 2 1
ALTO 4 3 2 1
MEDIO 4 3 2 1
BASSO 3 2 1 1
30
Metodologie e strumentiPianificazione e reporting
Il Piano annuale di compliance individua le attività da svolgere nel corso dell’esercizio da parte della Funzione di Conformità, inerenti l’analisi e la valutazione dei rischi di non conformità, gli interventi formativi, le attività in ambito di Gruppo.
Piano di compliance Report Ordinario
Report Consuntivo
Il Report Ordinario è redatto a seguito di ciascun intervento di compliance, al fine di rendicontare tempestivamente su aspetti significativi per i quali è opportuno intervenire senza indugio.
Il Report Consuntivo contiene il riepilogo delle attività svolte nel corso dell’esercizio, le conclusioni raggiunte riguardo al presidio dei rischi di non conformità, il piano degli interventi proposti