Prometeo MC

Il 27 settembre 2011 ha avuto luogo il convegno dell'Associazione Italiana Internal Auditors (AIIA) in collaborazione con Orrick  dedicato ai dieci anni del d. lgs. 231/01 (qui il programma in formato pdf)
Nella prima parte dell'evento, condotta da Roberto Bagnoli del Corriere della Sera, i relatori sono stati:

• Gian Michele Mirabelli, membro del Consiglio d'Amministrazione dell'AIIA, Direttore Sistemi di Controllo Interno presso Edison Spa 
• Alessandro De Nicola, Senior Partner, Orrick 
• Anna Lucia Muserra, Associazione OdV231 e Professore Ordinario di Economia Aziendale presso l'Università degli Studi di Bari 
• Claudio Cola, presidente AICOM, Associazione Italiana Compliance, Responsabile Compliance presso Dexia Crediop
• Marco Dell'Antonia, Of Counsel, Orrick

Nella seconda parte del convegno si è svolta una tavola rotonda sul tema "Peculiarità e applicabilità del modello 231. Le esperienze dei player del mercato" moderata da Alessandro De Nicola, Senior Partner Orrick e alla quale hanno partecipato:

• Fabio Accardi, Head of Internal Control & Audit Department, Astaldi S.p.A.
• Flaviano Bruno, Director, Membro dell'OdV, Consip S.p.A.
• Gian Michele Mirabelli, Direttore Sistemi di Controllo Interno, Edison S.p.A.
• Raimondo Rinaldi, General Counsel, Esso Italiana S.p.A.
• Maurizio Rubini, Compliance Officer, Gruppo Lottomatica S.p.A (qui le slide del suo intervento in formato pdf)

Di seguito un breve resoconto degli interventi.

Gian Michele Mirabelli, membro del Consiglio d'Amministrazione dell'AIIA, Direttore Sistemi di Controllo Interno, Edison Spa

Mirabelli ha riepilogato le attività svolte dall'Associazione Italiana degli Internal Auditors nei dieci anni trascorsi dalla promulgazione del decreto legislativo 231/01.

• Nel 2001 appena entrata in vigore le nuova normativa, l'AIIA ha pubblicato un position paper (qui in formato pdf accessibile solo agli associati) che è stato il punto di partenza, ad esempio, per la redazione delle relative linee guida di Confindustria.
• In collaborazione con Ernst&Young l'associazione ha istituito l'Osservatorio 231 utile anche come repository per l'evoluzione delle normative collegate.
• A cominciare dal 2001 sono stati svolti corsi periodici di formazione sul decreto.
• AIIA ha costituito un comitato di Knowledge Management all'interno del quale è attivo un gruppo di lavoro dedicato al d.lgs. 231/01
• Con l'Università di Pisa sono state svolte numerose ricerche in tale ambito.
• Con l'associazione ODV231 è stato organizzato un corso di specializzazione per i componenti dell'Organismo di Vigilanza (qui  la brochure in formato pdf)

A 10 anni dall'entrata in vigore della legge il bilancio, secondo Mirabelli, è positivo in quanto il d. lgs. 231/01 ha aiutato le imprese a migliorare il proprio sistema dei controlli interni (SCI); tuttavia è giunto il momento di ripensare l'impianto della legge ad esempio riducendo il numero di reati "presupposti".
Secondo Mirabelli gli obiettivi a cui dovrebbe puntare la riformulazione della norma sono:

• maggiore enfasi sulle best practice adottate dalle aziende "virtuose" con una forte convergenza verso i modelli di CSR – Corporate Social Responsibility;
• adozione di un sistema dei controlli unico in azienda.

Alessandro De Nicola, Senior Partner, Orrick

(qui le slide dell'intervento per gentile concessione di Orrik in formato pdf)

De Nicola ha fatto una rapida presentazione del decreto legislativo 231/01 soffermandosi sugli aspetti più critici rispetto ai quali occorre un ripensamento da parte del legislatore e illustrando le novità più rilevanti emerse negli ultimi mesi; tra queste una sentenza molto importante del giugno 2011 relativa alla responsabilità amministrativa nelle holding multinazionali  (la sentenza è stata analizzata e commentata nella newsletter di Orrick n. 4082, settembre 2011, qui in pdf, 408 K, 4 pp.).

De Nicola ha poi illustrato le diverse proposte di legge di riforma del d. lgs. 231/01 giacenti in Parlamento (e che al momento tuttavia non sembrano essere al centro dell'attenzione politica).
La prima proposta di modifica si deve ad AREL, Agenzia di Ricerche e Legislazione, ed ha come punti principali:

• modifica dell'inversione dell'onere della prova: con l'attuale formulazione se il reato "231" è commesso da un soggetto in posizione apicale tocca all'ente dimostrare la sua innocenza;  AREL propone che l'onere della prova sia sempre dell'accusa così come quando il reato è commesso da un soggetto non apicale;
• certificazione del modello o delle linee guida per i modelli da parte di società miste pubblico privato.

di Luciana Sympa - Prometeo Management Consulting (socio sostenitore ANSSAIF)

Libero dibattito sulla consultazione della Banca d'Italia sulle disposizioni attuative del d.lgs. 11/2010 in materia di servizi di pagamento
Durante l'incontro informale dell'11 maggio 2011 a Roma, in attesa delle disposizioni finali di Banca d'Italia, l'ANSSAIF ha dibattuto i due documenti di consultazione in tema di servizi di pagamento, esprimendo la sua soddisfazione e proponendo punti di miglioramento.

In una giornata particolare, in cui molti romani superstiziosi hanno lasciano la capitale per paura del terremoto (malgrado nelle carte dello studioso Raffaele Bendandi non compaiono mai né Roma né tantomeno l'11 maggio), i soci ANSSAIF, fiduciosi nella scienza che dichiara impossibile prevedere un sisma, hanno sfidato la superstizione per dibattere i loro principi, forti anch'essi di analisi e procedure sperimentate e consolidate in modo scientifico.
Erano presenti all'incontro oltre ai consiglieri romani ed al presidente dell'Associazione, alcuni membri del Comitato Scientifico.

Adeguati ed efficaci, ma è possibile fare di più e con gradualità

Durante il dibattito si è espressa piena soddisfazione per le indicazioni chiare ed opportune di Banca d'Italia, pienamente condivise dall'ANSSAIF.
Nel primo documento, "Attuazione del Titolo II del Decreto legislativo n. 11 del 27 gennaio 2010 relativo ai servizi di pagamento"  (qui in pdf) tre in particolare sono i concetti di particolare rilevanza in merito.

Intervista a Marco Recchia membro del consiglio direttivo di ANSSAIF - Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria

Luciana Sympa: Buongiorno Marco. Ti vuoi presentare?

Marco Recchia: Lavoro nel settore ICT da oltre 35 anni: dopo le prime esperienze in SIP e STET, nel 1986 ho iniziato le mie esperienze nel mondo bancario come ICT auditor. In tale ruolo ho avuto modo di conoscere i vari processi che caratterizzano le aziende di intermediazione finanziaria andando alla ricerca di rischi non presidiati tra i quali, dato il mio ruolo, quelli connessi all'utilizzo delle tecnologie ICT hanno sempre occupato una bella fetta del mio tempo.
Dal 2000 fino al 2009 ho ricoperto il ruolo di responsabile della funzione ICT Auditing in Banca Antonveneta SpA, dove ho curato, insieme al mio team, le attività sui sistemi informativi, la realizzazione e la gestione dei sistemi di controllo a distanza e monitoraggio, la verifica e validazione della compliance a norme e regolamenti, ecc.
Attualmente, svolgo attività di consulenza su problematiche di sicurezza ICT e monitoraggio progetti per la Pubblica amministrazione e partecipo in qualità di docente a master sulle tematiche della sicurezza.
Infine, una buona parte del mio tempo la dedico ad ANSSAIF (Associazione Nazionale Specialisti Sicurezza in Aziende di Intermediazione Finanziaria – www.anssaif.com) associazione della quale sono Socio Fondatore e Membro del Consiglio Direttivo.

Luciana Sympa: In questo ultimo contesto quali sono le tue responsabilità?

Marco Recchia: Tra le altre cose, far conoscere il corso di alta formazione in sicurezza nel sistema finanziario che ANSSAIF sta organizzando.

Luciana Sympa: Quali sono le finalità del corso?

Marco Recchia:  Il "Corso di Alta Formazione sulla Sicurezza nel Sistema Finanziario",  si inserisce nel progetto formativo del Master di III livello in Homeland Security - Sistemi, metodi e strumenti per la security e il crisis management, promosso dall'Università Campus Bio-Medico (www.masterhomelandsecurity.eu) e la cui direzione è affidata al Prof. Roberto Setola.

ComplianceNet, in collaborazione con Prometeo Management Consulting, ha realizzato una mini-guida alla redazione del piano di continuità operativa. La guida è rilasciata con licenza Creative Commons Attribuzione - Non commerciale 2.5 Italia License nei seguenti formati

• pdf (593 K, 14 pp)
• epub
  
• xhtml

Alla guida è collegato il sito internet http://www.compliance-business-continuity.it/ (curato da ComplianceNet) attraverso il quale è possibile effettuare un test online di autovalutazione sulle tematiche della Business Continuity.

L'Arbitro Bancario Finanziario (ABF) è il nuovo organismo indipendente e imparziale  per la risoluzione stragiudiziale delle controversie tra banca e clientela previsto dall'articolo 128-bis del Testo unico bancario (TUB), introdotto dalla legge sul risparmio (legge n. 262/2005), e reso operativo grazie alle disposizioni di Banca d'Italia del 18 giugno 2009, pubblicate Gazzetta Ufficiale, Serie Generale, del 24 giugno 2009.
L'Arbitro Bancario Finanziario è articolato sul territorio nazionale in tre Collegi: uno a Milano, uno a Roma e uno a Napoli.
Dal 28 aprile 2010 le decisioni dell’ABF vengono rese note sul proprio sito web; proprio dalla lettura di quanto già pubblicato emergono indicazioni di particolare rilievo per quanto riguarda il phishing, la clonazioni di carte di credito e bancomat, la sicurezza ed affidabilità dei sistemi informativi bancari;  la maggior parte delle decisioni assunte sono infatti nettamente a favore dei consumatori (anche se con qualche distinguo tra i vari collegi); va rimarcato inoltre che i reclami analizzati e su cui si è deliberato si riferiscono al quadro normativo antecedente al primo marzo 2010, data di entrata in vigore della Direttiva sui Sistemi di pagamento (PSD - Payment Services Directive); direttiva che intende favorire lo sviluppo di strumenti di pagamento evoluti, alternativi al contante, aumentando le garanzie per il cliente in caso di uso fraudolento degli strumenti stessi.
Il quadro appare chiaro: nell’ambito dei servizi sui sistemi di pagamento le banche devono quindi adottare processi, strumenti e sistemi di controllo non solo adeguati ma "avanzati"; in caso di perdite dovute a truffe elettroniche (ad esempio il phishing) la direttiva infatti "prende le parti" dei consumatori, ragion per cui la banca deve essere in grado di dimostrare non solo di aver adottato "tutte le precauzioni" ma anche di aver istituito "presidi di sicurezza adeguati allo scopo e resi accessibili dall’evoluzione scientifica e tecnologica".