ABI – Compliance in Banks 2010 - resoconto della seconda sessione "Le metodologie: valutare il compliance risk"

Testo rilasciato con licenza Creative Commons Attribuzione - Non commerciale 2.5 ItaliaI contenuti delle presentazioni e relazioni commentate nel testo sono di proprietà dei rispettivi relatori e/o società di appartenenza.
 
Disponibile anche in versione ebook (epub, pdf, doc, xhtml, odt). 

Elenco completo dei resoconti del convegno:

Interventi:
  • Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI, Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP
  • Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo
  • Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di Compliance
  • Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture - Compliance Risk Management: approccio alla valutazione del rischio di non conformità
  • Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico Meloni, Ufficio Coordinamento Compliance Federcasse - l’evoluzione del servizio ABICS verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo
  • Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - la misurazione del Rischio di non conformità finalizzata all’ICAAP: l’esperienza di una piccola Banca.
Di seguito una breve sintesi degli interventi.

Gianfranco Torriero, Direttore Centrale, Responsabile Area Centro Studi e Ricerche ABI, Chairman della sessione - Il contributo della Funzione Compliance al processo ICAAP

Il dottor Torriero ha condotto, in qualità di chairman, la seconda sessione del convegno "Compliance in Banks 2010", sessione dedicata agli aspetti metodologici della gestione del rischio di compliance.
Dopo aver presentato e ringraziato i relatori, Torriero ha svolto un breve intervento dedicato al contributo della Funzione Compliance all’Internal Capital Adequacy Assessment Process (ICAAP). La relazione del dottor Torriero si è articolata in 3 parti:
  1. Funzione Compliance: quale ruolo oggi?
  2. I possibili contributi della Compliance all’ICAAP.
  3. Alcune domande.
Funzione Compliance: quale ruolo oggi?
Torriero ha ricordato che nel 2007 con l’istituzione nelle banche della Funzione di Compliance (FC) si è completato l’assetto del Sistema dei Controlli Interni (SCI) in banca che la vigilanza aveva già anticipato ed ipotizzato a cominciare dal 1998.
Lo SCI si articola in 3 livelli di controllo:
  1. di linea, preventivi (primo livello);
  2. sulla gestione dei rischi, preventivi (secondo livello);
  3. di revisione interna, a posteriori (terzo livello).
Come è noto, Banca d’Italia colloca la funzione di Compliance (ed il Risk Management) tra i controlli preventivi di 2° livello sulla gestione dei rischi assegnando ad essa compiti e responsabilità ben specifici.
Sono però possibili, ha osservato Torriero, diverse implementazioni pratiche a fronte dei principi guida indicati dalla vigilanza.
Una prima ipotesi realizzativa prevede di strutturare la Compliance come funzione organizzativa ben specifica e distinta a connotato più legale e di controllo operativo; in questa ipotesi la funzione di Compliance non sempre giunge o contribuisce ad una qualche valutazione/misurazione dell’esposizione ai rischi legali e reputazionali. In questo caso è, prevalentemente, il Risk management che presidia la misurazione dell’esposizione ai rischi legali, in quanto facenti parte dei rischi operativi e sebbene in aumento sono per ora ancora poche le interrelazioni organizzative, interscambi e collaborazioni con la funzione di Compliance.
Una seconda ipotesi prevede invece di far "convivere" Compliance e Risk Management all’interno di un’unica struttura organizzativa di "Risk management/controlling" nella quale integrare le attività svolte dalle due funzioni. Ma anche in tal caso, ha osservato Torriero, "vista la dimensione mediamente più contenuta delle strutture, non sempre si realizza uno sviluppo dell’azione della funzione di Compliance secondo tutti i classici step della gestione rischio".
Una completa gestione del rischio comporta infatti:
  1. identificazione;
  2. valutazione/misurazione;
  3. monitoraggio;
  4. mitigazione.
Specie il secondo punto (valutazione/misurazione) viene spesso trascurato dalla Compliance e delegato al Risk Management sotto l’ipotesi organizzativo sopra indicata.
I possibili contributi della Compliance all’ICAAP 
Torriero ha sottolineato che l’ICAAP è il processo più rilevante della banca dal punto di vista gestionale poiché è deputato al "sano e prudente" governo della banca, con obiettivi di individuazione, valutazione, mitigazione e monitoraggio, rendicontazione/reportistica dei rischi corsi correntemente e in futuro.
Per tale motivo, ha rimarcato Torriero, l’ICAAP esige il contributo, la partecipazione, la collaborazione e l’integrazione di molte, se non di tutte le funzioni aziendali, in particolar modo quelle di controllo tra cui soprattutto (ma non solo) il Risk Management.
Le disposizioni di vigilanza consigliano di scomporre l’ICAAP in quattro fasi anche se ciascuno intermediario, in omaggio al principio di proporzionalità, può modulare il processo secondo le proprie esigenze:
  1. individuazione dei rischi da sottoporre a valutazione;
  2. misurazione/valutazione dei singoli rischi e del relativo capitale interno;
  3. misurazione del capitale interno complessivo;
  4. determinazione del capitale complessivo e riconciliazione con il patrimonio di vigilanza.
ABI però, come riportato nel "Libro bianco sul Pillar 2" realizzato nel settembre 2008, ha proposto anche approccio più dettagliato rispetto ai quali Torriero ha mostrato alcune matrici che incrociano le fasi del processo (13) con gli attori coinvolti (9) indicando in ciascun incrocio se l’apporto riguarda esecuzione, approvazione, etc. 
Successivamente Torriero ha indicato quali sono le fasi del processo di Compliance (ispirandosi al paper del Comitato di Basilea sulla compliance dell’aprile 2005, principio 7):
  1. pianificazione
  2. consulenza
  3. linee guida
  4. identificazione
  5. valutazione
  6. formazione
  7. mitigazione monitoraggio
"Appaiono da subito evidenti le concordanze con alcune delle fasi dell’ICAAP" ha sottolineato Torriero. È chiaro allora quale possa essere il contributo della Compliance nella gestione dei rischi propri in ottica ICAAP. 
"L’identificazione e la valutazione del rischio compliance sono tipiche attività di gestione del rischio e quindi anche dell’ICAAP, che richiedono la collaborazione e il contributo di altre funzioni aziendali, tra cui certamente almeno il Risk Management.
La mitigazione e il monitoraggio del rischio compliance, delle aree critiche in termini di esposizione e di controllo nonché il monitoraggio degli interventi di mitigazione previsti sono attività di supporto alla rendicontazione e al processo ICAAP: si pensi alla fase dell’autovalutazione del sistema di governo dei rischi con cui la banca identifica le aree di miglioramento e presidia la realizzazione degli interventi di evoluzione pianificati nei periodi precedenti da inserire nella rendicontazione ICAAP annuale".
Sono possibili diverse ipotesi di collaborazione tra il processo Compliance ed il processo ICAAP:
  1. la Compliance interviene solo sui rischi che le sono propri (legale e reputazionale);
  2. la Compliance interviene più in generale sul complessivo processo ICAAP (approccio in parte invocato da alcune comunicazioni di Bankit);
  3. la Compliance interviene su entrambi i fronti.
Una cosa però va chiarita subito ha detto Torriero: "per il rischio di compliance nell’ICAAP non si deve prevedere altro capitale aggiuntivo (poiché il rischio legale/da sanzioni regolamentari è già inserito nei rischi operativi e il rischio reputazionale non genera necessità aggiuntive di capitale ma solo di controllo dello stesso)".
In conclusione Torriero ha rimarcato che anche per l’ICAAP – sebbene processo interno (e quindi con un certo numero di gradi di libertà insiti nella normativa per principi che lo caratterizza) – esiste l’esigenza di essere conforme. Ecco quindi la possibilità (non la necessità ha sottolineato Torriero) di un ruolo di sostegno della FC al complessivo processo ICAAP, sostegno che forse è più significativo se interviene in fase di progettazione e messa a punto del processo stesso.
Alcune domande
Nella terza ed ultima parte del suo intervento Torriero ha posto una serie di quesiti per l’elaborazione comune e futura.
  1. Quanto è diffuso questo tipo di approccio proattivo alla razionalizzazione complessiva e conformità dell’intero processo ICAAP, mediante un contributo della FC?
  2. Da parte della FC vi è volontà e ci sono risorse per assumersi questo ruolo?
  3. Quali se del caso le interrelazioni con l’Internal Audit?

Renata Tesio, Responsabile Ufficio Reporting, Direzione Centrale Compliance Intesa Sanpaolo - Il modello di compliance risk assessment nell’esperienza di Intesa Sanpaolo

La relazione della dottoressa Tesio si è articolata in quattro parti:
  1. La Compliance in Intesa Sanpaolo
  2. Modello di RiskAssessment
  3. L’informativa agli organi sociali e ai comitati
  4. Focus sul rischio reputazionale – l’aderenza al Codice Etico

La Compliance in Intesa Sanpaolo
Tesio ha iniziato descrivendo la collocazione della funzione di Compliance all’interno del gruppo Intesa Sanpaolo.
In sintesi il Sistema dei Controlli prevede tre linee di difesa:
  1. prima linea in carico alle direzioni operative
  2. seconda linea in carico al Chief Risk Officer (CRO)
  3. terza linea in carico all’Internal Audit.
Il Chief Risk Officer (CRO) risponde al Consigliere Delegato e CEO e a sua volta è articolato in:
  • Compliance
  • Legale e Contenzioso
  • RiskManagement
  • Presidio Qualità del Credito
  • Validazione Interna.
Passando agli ambiti normativi ci sono norme presidiate direttamente dalla Direzione Centrale Compliance e norme presidiate da altre strutture alle quali sono attribuiti compiti di compliance.
Al primo gruppo di norme appartengono (tra l’altro):
  • Servizi d’investimento
  • Intermediazione assicurativa e previdenziale
  • Market abuse
  • Trasparenza delle condizioni contrattuali
  • Sistemi di pagamento
  • Responsabilità amministrativa degli Enti
  • Antiriciclaggio.
Al secondo gruppo di norme appartengono (tra l’altro):
  • Tutela della privacy
  • Sicurezza sul lavoro
  • Tutela ambientale
  • Tutela della concorrenza.
Passando al modello di governo sul gruppo, la Direzione Centrale Compliance svolge nei confronti delle società del gruppo un ruolo di indirizzo e controllo, mirato a garantire un efficace ed efficiente presidio dei rischi di non conformità a livello di Gruppo. 
In particolare:
  • mantiene la responsabilità della definizione delle linee guida e delle regole metodologiche in materia di valutazione, presidio e controllo del rischio di non conformità a livello di Gruppo;
  • garantisce inoltre l’informativa integrata a livello di Gruppo in merito all’adeguatezza del presidio della conformità.
  1. Società in service con accentramento del presidio della conformità presso la Capogruppo che comprende:
    • Banche Rete in service che hanno adottato sistema informativo target
    • Società italiane con operatività fortemente integrata con quella di Capogruppo
  2. Società in governante e Filiali estere con funzioni di conformità interne e Compliance Officer locale che comprende:
    • Banche Rete in governante
    • Altre Banche e Società Italiane
    • Banche della Divisione Banche Estere
    • Banche estere della Divisione Corporate e IB
    • Filiali estere di Capogruppo.
Modello di RiskAssessment
Nella seconda parte del suo intervento la dottoressa Tesio ha presentato in dettaglio il modello di Risk Assessment utilizzato dalla Direzione Centrale Compliance di Intesa San Paolo.
Partendo dalle logiche va detto subito che la prioritizzazione delle aree intervento nei vari ambiti normativi è definita sulla base della valutazione di:
  • rischio di non conformità, nelle sue componenti "operativa"e "reputazionale";
  • presidi del rischio di non conformità posti in essere sia da parte delle unità di compliance, sia da parte delle unità di business.
Tesio ha poi illustrato gli strumenti ed i dati utilizzati durante il Risk Assessment: ad esempio per le "analisi delle perdite operative del Risk Management" si usa una "matrice associazione perdite operative storiche / ambiti normativi" mentre la "valutazione manageriale per l’applicazione del correttivo di scenario" si utilizza un "questionario di analisi di scenario".
È importante notare che la valutazione delle perdite operative associate agli eventi rilevanti avviene a partire dall’analisi puntuale degli eventi presenti nel database di Risk Management delle perdite operative, al fine di:
  1. escludere eventi non rilevanti ai fini di compliance;
  2. attribuire le singole perdite agli ambiti normativi.
Inoltre al fine di incorporare le aspettative di mutamento del contesto di riferimento viene applicato un correttivo di scenario alle perdite storiche, valutato dalle unità di riferimento per le attività di compliance attraverso un "questionario guidato"per ambito normativo.
Per quanto riguarda in particolare la valutazione della componente "reputazionale" del rischio di conformità si utilizza per ciascun ambito normativo un "questionario guidato" da parte delle unità di riferimento per le attività di compliance (anch’essa declinata in ranking).
Ciò permette di valutare l’impatto su:
  1. Segmenti di clientela interessati
  2. Numero clienti
  3. Volumi su specifico prodotto/ ramo interessato
  4. Volumi su altri prodotti / rami
  5. Brand
  6. Manager della Banca
  7. Altro personale della Banca
  8. Sanzioni e perdita di credibilità verso l’Autorità di Vigilanza.
In conclusione del processo i dati sono rappresentati attraverso una matrice di sintesi che riporta sull’asse delle ascisse i presidi e su quello delle ordinate il rischio "potenziale"; i valori rilevati si riferiscono alle normative analizzate.
Questo approccio metodologico, ha spiegato la dottoressa Tesio, si è evoluto ed affinato nel corso degli anni a cominciare dal 2008. Ovviamente ci sono state modifiche ed innovazioni.
Ad esempio per quel che riguarda l’associazione perdite/normativa si è passato da un approccio prevalentemente parametrico a quello prevalentemente "puntuale" per consentire una miglior valutazione delle perdite associate a ciascun ambito normativo; inoltre il modello è stato "derelativizzato" con la sostituzione dei quartili con indici e indicizzazione a valori assoluti, ciò per permettere la ponderazione perdite storiche / analisi di scenario, eccetera.


L’informativa agli organi sociali e ai comitati
Nella terza parte del suo intervento la dottoressa Tesio ha illustrato le modalità di reporting da parte della funzione di Compliance agli organi sociali e ai comitati.
I flussi informativi, come sempre i questi casi, sono numerosi e spesso corposi. Inoltre da subito è nata l’esigenza di integrare e sintetizzare la reportistica con quella proveniente dalle altre funzioni di controllo aziendali. È stato così realizzato un Report del "presidio integrato dei rischi operativi e reputazionali" che viene inviato al Chief Risk Officer, al Comitato Compliance e Operational Risk, al Comitato per il Controllo (CdS) e alla Commissione Crediti e Rischi (CdG).
Il report contiene:
  • l’elenco dei "temi da affrontare"con indicazione dei principali punti di attenzione, delle azioni da attivare/decisioni da assumere, dei referenti e delle strutture responsabili;
  • monitoraggio delle azioni in corso;
  • evidenza dei progetti di Capital Budget 2011 - sotto la responsabilità della struttura del CRO e di altre funzioni aziendali - rilevanti ai fini della mitigazione dei rischi più significativi.
Focus sul rischio reputazionale – l’aderenza al Codice Etico
Infine nell’ultima parte del suo intervento Tesio ha presentato un’attività svolta dalla Direzione Centrale Compliance e relativa ad un approfondimento sul rischio reputazionale mediante un assessment sul grado di rispetto di quanto previsto dal Codice Etico (policy su armamenti, policy su ambiente, piano industriale, piano sociale d’impresa) con un duplice obiettivo:
  1. dal punto di vista "interno" (Compliance): verificare l’organizzazione posta in essere per onorare gli impegni presi;
  2. dal punto di vista "esterno": verificare la qualità della relazione posta in essere con gli stakeholder.
A ciascun principio del codice etico è stato assegnato un punteggio sintetico di rilevanza ricavato da un apposito algoritmo (da 0 a 3).
Sulla base del risultato del lavoro, anche in base ad elementi di opportunità e considerazioni interne, si è successivamente definito la lista di priorità da verificare.

Fernando Metelli, Presidente AIFIRM – Associazione Italiana Financial Industry Risk Manager - Interazioni organizzative e funzionali tra le attività di Risk Management e di Compliance

Il dottor Metelli, presidente di AIFIRM l’Associazione Italiana Financial Industry Risk Manager ha trattato il tema dello sviluppo della risk culture in banca che richiede la convergenza tra le attività di compliance e quelle di risk management.
La convergenza, ha osservato Metelli, nasce nei fatti perché Compliance e Risk Management parlano lo stesso linguaggio anzi per usare l’espressione del vice direttore generale della Banca d’Italia, la funzione compliance "… opera usando logiche e strumenti tipici delle funzioni di risk management…" (Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 qui in pdf).
Metelli ha poi ricordato, anche con tono un po’ polemico, il recente documento di CEBS (Committee of European Banking Supervisors),"High-level principles for risk management" che ribadisce l’ABC del risk management per le banche dato che, secondo il CEBS, ci sarebbero gap da colmare nella governance e nella risk culture.
Occorre però delimitare bene i ruoli evitando le duplicazioni.
Metelli ha poi ricordato che il sistema dei presidi posti in essere per la prevenzione del rischio di riciclaggio e di terrorismo rientra nel perimetro delle funzioni di Compliance/ Risk Management. La logica "risk based" introdotta ad esempio dal d.lgs 231/07 (antiriciclaggio) ha infatti avvicinato le metodologie di controllo antiriciclaggio a quelle proprie di risk management. 
La lettura del Documento di Consultazione 2010 (Provvedimento Recante Disposizioni Attuative in Materia di Organizzazione, Procedure e Controlli Interni) è illuminante ha detto Metelli: la funzione in argomento [antiriciclaggio] può anche essere attribuita alle strutture che svolgono le funzioni di compliance o di risk management. Le medesime funzioni non possono essere assegnate alla funzione di revisione interna.
Secondo Metelli quando si parla Compliance è necessario abbandonare la tradizionale (consolidata, perché meglio basata su esperienza storica) logica dell’Audit per entrare nella logica del business. Il Compliance Manager – pur facendo parte del c.d. Sistema dei Controlli – è un controllore del tutto particolare, che non può intervenire "dopo" (non è sufficiente) ma deve agire "prima" e, ciò facendo, condiziona il business, cioè presidia il risk size del business (o quanto meno di una fetta importante dello stesso).
Il dottor Metelli è poi passato ad illustrare la misurazione del rischio di non conformità che usa metriche, regole, infrastrutture tecnologiche e metodologiche di misurazione dei rischi sostanzialmente simili a quelle proprie dell’operational risk management.
Anche per il rischio di non conformità occorre effettuare la rilevazione dei dati sulle perdite subite; e anche per tale rischio la tecnica del self assessment è ugualmente spesso utilizzata. Infine stesso approccio si adotta per la valutazione dei rischi e la definizione dei presidi/interventi per la mitigazione del rischio di non conformità e del rischio reputazionale.
In conclusione del suo discorso Metelli ha parlato della misurazione qualitativa dei rischi. Il rischio reputazionale è spesso misurato con approcci "qualitativi" o comunque "difficilmente quantificabili" e dimensionato tramite assessment soggettivi.
La misurazione dei rischi se però non trova una quantificazione oggettiva e trasparente:
  • non riesce ad inserirsi nei processi gestionali, condizionando il business;
  • diventa un rischio nominale, sopportato solo perché esiste, non mitigabile.
Di conseguenza Metelli propone a Risk Manager e Compliance Manager di costituire un tavolo tecnico comune per mettere insieme esperienze e definire criteri oggettivi, estendendo l’iniziativa ai gestori dell’ICAAP.

Fabio Bocchini, Senior Manager della Service Line Risk & Compliance Accenture - Compliance Risk Management: approccio alla valutazione del rischio di non-conformità

L’intervento del dottor Bocchini si è articolato in tre parti:
  1. Contesto di riferimento;
  2. Approccio al Compliance Risk Assessment;
  3. Considerazioni conclusive.

Contesto di riferimento
Nella prima parte del suo intervento Bocchini ha ricordato la tumultuosa evoluzione del quadro normativo e regolatorio per gli intermediari bancari e finanziari sia a livello internazionale sia nazionale. Si è affermato inoltre un nuovo approccio normativo basato più sulla definizione di principi che di regole puntuali. Infine si registrano aree di sovrapposizione da gestire tra normative differenti.
Tutto ciò comporta che spesso i percorsi di adeguamento normativi hanno impatti spesso invasivi su organizzazione, processi e strumenti a supporto.
Bocchini ha poi riportato una serie di dati e statistiche sulle ispezioni e le sanzioni: ad esempio per quel che riguarda la Banca d’Italia nei primi cinque mesi del 2010 sono già stati avviati 138 sopralluoghi ispettivi (67% di tutto il 2009) con specifici approfondimenti che hanno interessato la liquidità, le strutture e i processi di controllo interno, i presidi organizzativi.
Approccio al Compliance Risk Assessment
Affrontanto la parte metodologica del suo intervento Bocchini ha ricordato che nel Compliance Risk Assessment si deve evidenziare il rischio effettivo o residuo da "calcolare" come differenza tra il rischio potenziale meno i presidi/controlli.
Il primo passo è identificare dunque i rischi potenziali attraverso una mappatura dei rischi per normativa. In questa fase è opportuno appoggiarsi a provider esterni per il catalogo degli adempimenti normativi e dei rischi collegati anche per avere garanzia dell’aggiornamento periodico degli adempimenti per le normative in ambito.
Per quanto riguarda la misurare del rischio potenziale esso è la somma di 2 componenti:
  1. componente operativa o rischio di incorrere in sanzioni giudiziarie o amministrative e perdite finanziarie rilevanti in conseguenza di violazione di norme imperative (legge, regolamenti) o di autoregolamentazione;
  2. componente reputazionale o rischio di sostenere un aggravio di perdite finanziarie derivanti dalla percezione di comportamenti contrari alle norme ovvero ai principi di riferimento su cui si fonda il modello di business e la relazione con la clientela.
Per valutare l’efficacia dei presidi a mitigazione del rischio occorre "sommare" due componenti:
  1. valutazione ex-ante;
  2. valutazione ex-post.
La valutazione ex-ante si basa sull’analisi di esistenza/completezza dei presidi/controlli a copertura dei diversi rischi. Esempi di variabili da analizzare possono essere:
  • esistenza/ aggiornamento normativa interna
  • presenza di controlli automatici nelle procedure IT
  • formazione per prevenire comportamenti non conformi.
La valutazione ex-post si basa sull’analisi delle evidenze dei controlli di II e III livello volti a verificare l’effettiva applicazione delle norme interne e l’efficacia dei presidi/ controlli previsti nel prevenire situazioni di non conformità.
La valutazione ex post viene fatta direttamente dalla funzione di Compliance sulla base delle evidenze dei controlli svolti sia direttamente che indirettamente (evidenze da Internal Audit).
Sia la valutazione ex-ante che quella ex-post vanno fatte con riferimento ai singoli rischi identificati sugli ambiti normativi considerati (approccio bottom up).
Il risultato finale è una matrice del rischio potenziale che riporta la copertura presidi/controlli per valutazione del rischio residuo.
Le normative che evidenziano, nella matrice, un posizionamento con alto rischio potenziale e valutazione bassa su presidi/controlli sono quelle su cui la banca deve intervenire in modo prioritario.
Considerazioni conclusive
Esistono nella pratica operativa diverse modalità per approcciare al Compliance Risk Assessment. Al di là del modello prescelto, secondo Bocchini, elemento fondamentale è riuscire a coinvolgere nel processo le diverse funzioni aziendali che possono contribuire ad una migliore valutazione del cd. "rischio residuo":
  • Risk Management (condivisione approccio metodologico e analisi dati di perdita per valutazione componente operativa del rischio)
  • Referenti Business (valutazione possibili ricadute commerciali connesse a eventi di non conformità)
  • Process/ Control Owner (o anche Operational Risk Manager distribuiti sul territorio) per autovalutazione presidi di primo livello
  • Internal Audit per acquisizione elementi rilevanti da controlli indipendenti di terzo livello
  • Altre funzioni aziendali per inclusione eventuali ulteriori elementi di valutazione (es. reclami clientela, cause legali, evidenze Autoritàdi Vigilanza, ecc)
Importante, infine, la piena integrazione del Compliance Risk Assessment nel processo di gestione del rischio di conformità:
  • evidenze del Compliance Risk Assessment devono costituire l’input principale per l’approntamento del Compliance Plan annuale;
  • no ad esercizio una tantum ma monitoraggio periodico del rischio residuo sulla base delle evidenze dell’attività di Assurance svolta direttamente dalla funzione Compliance e/o in collaborazione con l’Internal Audit.

Marco Pigliacampo, Referente Area Analisi e Gestione ABIFormazione e Federico Meloni, Ufficio Coordinamento Compliance Federcasse - L’evoluzione del servizio ABICS verso la gestione aziendale della compliance: l’esperienza di ABICS-Credito Cooperativo

La relazione tenuta insieme da Marco Pigliacampo (ABIFormazione) e Federico Meloni (Federcasse) ha presentato l’implementazione di ABICS 2.0 - Sistema In House presso Federcasse.
Progettato e realizzato da ABIFormazione e dal Gruppo Engineering, ABICS 2.0 In House consente l'utilizzo in azienda delle informazioni erogate dal servizio ABICS.
Marco Pigliacampo ha rapidamente indicato le novità di ABICS 2.0.
Rispetto al servizio on line, ABICS 2.0 consente un utilizzo dei contenuti più efficace in chiave gestionale.
Le innovazioni funzionali presenti nel sistema In House, infatti, permettono di:
  • inserire nel sistema una mappa dei processi personalizzata, in modo strutturale e senza perdere il valore aggiunto delle analisi di impatto delle norme, grazie a una apposita tabella di raccordo della mappa con l’albero standard dei processi bancari;
  • censire l’organigramma aziendale e associare alle Unità Organizzative i processi bancari e, quindi, i rischi di compliance che li impattano, in modo da attribuire i rischi agli specifici gestori aziendali;
  • inserire documentazione aziendale e collegarla alle disposizioni normative, consentendo di integrare la norme esterne con le regole interne;
  • ottenere valutazioni aziendali dei rischi di compliance, sia a livello inerente sia a livello residuo, mediante la valorizzazione di apposite matrici su cui inserire valutazioni riguardo a: probabilità degli eventi di rischio, severità degli impatti, efficacia dei presidi di conformità;
  • gestire autonomamente gli utenti con accesso al sistema, in modo da poter distribuire direttamente le credenziali di accesso alle persone della propria azienda.
Il sistema, inoltre, consente la personalizzazione del layout grafico, ad esempio con l’aggiunta del logo aziendale, ed è predisposto per consentire progetti di interoperabilità con le piattaforme GRC (Governance, Risk & Compliance) eventualmente presenti in banca. In particolare, le banche dotate del sistema In House possono trasferire i contenuti del servizio verso i sistemi IT aderenti al progetto "Inter-operabilità ABICS 2.0".
Meloni ha spiegato i motivi che hanno portato alla scelta di ABICS 2.0.
Federcasse, nel corso del 2008, era interessata a far sì che il sistema del Credito Cooperativo italiano, di cui promuove gli interessi di categoria, potesse avvalersi di un valido strumento per la gestione dei c.d. "rischi di conformità". Dopo una valutazione delle possibili alternative presenti sul mercato Federcasse ha scelto ABICS optando per la realizzazione di una versione personalizzata denominata "ABICS CC" (ABI Compliance System Credito Cooperativo).
ABICS CC è, quindi, l’applicativo della Compliance del Credito Cooperativo che tiene pertanto conto delle peculiarità delle Banche di Credito Cooperativo.
In linea generale, le funzioni del servizio ABICS CC hanno quali principali punti di forza:
  • la trasmissione continua di alert sulle novità normative e sui processi di produzione di nuovi provvedimenti regolamentari;
  • l’aggiornamento degli inventari normativi ("legal inventories");
  • una gestione della compliance ancora più efficace ed efficiente in termini di analisi normativa e la ricaduta degli impatti sui processi bancari propri del Credito Cooperativo;
  • la possibilità di personalizzare, secondo l’esigenza propria delle Banche di Credito Cooperativo, l’applicativo rilasciato da Abiservizi.
Tali personalizzazioni del sistema ABICS CC hanno consentito e consentono:
  • l’inserimento anche di circolari interpretative di Federcasse riferibili sia alle disposizioni generali trattate sia agli articoli delle stesse;
  • le analisi di impatto delle norme sui processi bancari propri del Credito Cooperativo;
  • una visione immediata e puntuale del sistema sanzionatorio legato al precetto normativo e la possibilità di conoscere il rischio reputazionale per processo "personalizzato";
  • la possibilità di ricondurre il rischio reputazionale all’owner del business aziendale.
Nel dettaglio le principali funzioni di ABICS CC sono:
  • News
  • Servizio di Alerting
  • Consultazione Legal Inventory
  • Consultazione Processi
  • Risorse documentali.
Le news riguardano sostanzialmente il rilascio o l’aggiornamento di contenuti normativi.
Gli Alerts trattano le informative sui processi di produzione di nuovi provvedimenti normativi che possono eventualmente impattare sulla gestione della compliance in banca (Direttive Europee, Disegni di Legge, Decreto Legge, Documenti in consultazione proposti dalle Autorità di settore, eccetera).
La funzione di Consultazione Legal Inventory consente di procedere alla ricerca delle disposizioni normative d’interesse o che rispondono a determinate caratteristiche.
La funzione Consultazione Processi consente all’utente di navigare all’interno di una mappa che rappresenta i processi bancari, ciò al fine di individuare le disposizioni normative che impattano sui processi.
Selezionando un processo, si vede l’elenco delle disposizioni che lo impattano direttamente. Le disposizioni sono ordinate per Argomento; per ognuna di esse è visibile: Argomento, Fonte normativa, Riferimento della disposizione, abstract del testo della disposizione, eventuale icona con la valutazione di rischio e con la possibilità di accedere alla relativa "Scheda Rischio".
Per agevolare la consultazione delle disposizioni che impattano il processo selezionato, sono disponibili tre filtri di ricerca relativi a: Sanzione prevista; Sanzioni con particolari rischi reputazionali; Strumenti informativi per la clientela.
Navigando nell’ambito della funzionalità, inoltre, è possibile accedere ad altre informazioni quali:
  • dettaglio del processo: si intendono informazioni relative al processo selezionato, quali: la Descrizione del processo, il nominativo di un eventuale Responsabile del processo (process owner);
  • i riferimenti che riguardano l’Unità Organizzativa a cui è eventualmente affidata la responsabilità del processo.
  • annotazioni: si intendono note associate al processo.
  • allegati: si intendono file (documenti, tabelle, schemi, etc.) associati al processo.
Meloni si è poi soffermato sulle personalizzazioni possibili in ABICS CC.
La principale personalizzazione effettuata dal Credito Cooperativo è stata quella di sostituire l’albero dei processi bancari "standard", rilasciata in ABICS, con l’albero dei processi delle Banche di Credito Cooperativo.
È stata creata, quindi, una tabella di raccordo che consente di associare ai processi bancari del Credito Cooperativo tutte le disposizioni normative trattate in ABICS.
È quindi possibile:
  • modificare le associazioni documentali ai processi
  • aggiungere nuovi impatti e/o cancellare impatti tra quelli presenti
  • modificare gli impatti organizzativi erogati dal servizio ABICS
  • inserire un testo di "descrizione del rischio per ogni impatto di una disposizione su un processo aziendale.
La versione personalizzata di ABICS CC consente anche di inserire nell’ambito di ciascuna disposizione normativa trattata "proprie" risorse documentali, ad esempio circolari, e associarle quindi:
  • non solo alla disposizione normativa, ovvero all’articolo della stessa
  • ma anche al processo organizzativo impattato dalla disposizione normativa.
È possibile, inoltre, creare nuove Risorse Documentali aziendali, che si aggiungono a quelle erogate dal servizio ABICS (che contengono brani tratti da Circolari ABI o da Comunicazioni delle Autorità di settore).
Nelle risorse è possibile inserire non solo testo, ma anche link a pagine Intranet o documenti aziendali consultabili dagli utenti.

Paolo Pogliaghi, Responsabile Compliance e Rischi Bcc Carugate - La misurazione del rischio di non conformità finalizzata all’Icaap: l’esperienza di una piccola Banca

Il dottor Pogliaghi ha fatto, nel suo intervento, un breve excursus sull’evoluzione della funzione di Compliance dalle prime indicazioni giunte dall’organo di vigilanza alla fine degli anni 90 fino alle recenti disposizioni di Banca d’Italia e Consob nel 2007 sottolineando, in particolare, gli aspetti di interrelazione fra Compliance e funzione di Risk Management.
Secondo Pogliaghi è chiaro che, specie negli intermediari di piccole dimensioni, Compliance e Risk Management possono convivere anche nella stessa struttura organizzativa purché ne sia chiarito il mandato e garantita l’indipendenza.

Scrive infatti Banca d’Italia nella circolare. n° 688006 del 10/07/2007: "e banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento di tale funzione alle strutture già esistenti incaricate della gestione dei rischi…oppure ancora a soggetti terzi (esternalizzazione)”, …”purché dotati dei requisiti idonei in termini di professionalità ed indipendenza”. “In ogni caso deve essere nominato un responsabile della funzione all’interno dell’azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente".

Ciò premesso qual è l’approccio per la migliore gestione del rischio di non conformità?
Sono possibili diversi approcci:

  1. per normativa;
  2. per processi bancari;
  3. approccio per norme e processi bancari.

Molti intermediari privilegiano l’approccio per normativa che però, francamente, dice Pogliaghi non offre un gran valore aggiunto né appare particolarmente innovativo.

Nell’approccio per normative gli attori coinvolti (al minimo) sono:

  1. Process Owner
  2. Compliance Officer
  3. Responsabile Organizzazione

La finalità è garantire che la banca adotti procedure e prassi conformi alla normativa esterna prima:

  • dell’entrata in vigore di una nuova normativa;
  • dell’ingresso in un nuovo mercato (area geografica o segmento di prodotto).

In questo caso le metodologie che possono adottarsi sono: Analisi di impatto, Risk Self Assessment…mentre gli strumenti: ABICS, …, …
Ma qual è l’elemento di novità per le banche? Nessuno, sostiene Pogliaghi.

Nell’approccio per processi bancari gli attori coinvolti (al minimo) sono:

  1. Compliance Officer
  2. Risk Manager
  3. Process Owner

La finalità è controllare / misurare l’esposizione al rischio di non conformità della banca  sia alla normativa esterna sia alla normativa interna.

Le metodologie: Controlli a campione e per eccezione, Control Risk Self Assesment…
Gli strumenti: ABICS; Strumenti di Risk Management similari alla misurazione dei Rischi Operativi (modelli interni di misurazione dei Rischi operativi AMA verso BIA)
Qui c’è un vero elemento di novità per le banche: la misurazione della non conformità quale parte integrante del processo ICAAP e conseguente valutazione dell’adeguatezza del capitale a fronte delle mancate conformità riscontrate.

Pogliaghi ha poi ricordato la circolare di Banca d’Italia n° 0228112/10 del 23 marzo 2010 che recita: "7.Rischi più difficilmente quantificabili:
se ritenuti rilevanti per l’operatività aziendale, gli intermediari forniscono una descrizione della natura e delle cause sottostanti a questi rischi e una illustrazione delle relative procedure organizzative di gestione e controllo. Di norma, ci si aspetta che un’eventuale quantificazione di capitale interno sia basata sull’impiego di metodologie robuste e documentate".
In questo ambito, ad avviso di Pogliaghi,si colloca la misurazione del rischio di non conformità da esplicitarsi all’interno del documento ICAAP.

Altra domanda fondamentale: come si misura la reputazione di una azienda? Purtroppo, ironizza Pogliaghi, solo post mortem cioè solo a seguito della cessione dell’azienda quando il mercato valuta il valore della stessa.
Pogliaghi ha poi mostrato una schema riassuntivo delle possibili sanzioni penali, civili ed amministrativi che riguardano le banche.
Infine il dottor Pogliaghi ha descritto le attività della funzione di Compliance presso la BCC in cui opera spiegando le modalità con cui vengono effettuale le verifiche.
La banca adotta un approccio “per processi bancari” alla misurazione del rischio di non conformità che è inoltre finalizzato all’ICAAP.

Ad oggi per quanto concerne la misurazione del rischio di “non conformità” la BCC di Carugate ha sottoposto a verifiche i seguenti processi:

  • Finanza;
  • Risparmio;
  • Tesoreria – Enti Pubblici;
  • Informativa verso l’esterno / contabilità e segnalazioni.

Seguiranno i seguenti processi:

  • Credito;
  • Gestione delle Infrastrutture e spese;
  • Gestione delle risorse umane;
  • Antiriciclaggio (come se fosse processo a sé stante e questo anche secondo la recente rivisitazione normativa di Banca d’Italia, estate 2010);
  • Marketing.

A conclusione del suo intervento anche Pogliaghi ha ricordato le parole di Anna Maria Tarantola, vice direttore generale di Banca d’Italia in un suo intervento pubblico del 2007 (La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie in http://www.bancaditalia.it/interventi/altri_int/2007/4_10_07/Tarantola_4_10_07.pdf): "la compliance deve rappresentare la coscienza dell’impresa bancaria".

Riepilogo della normativa di riferimento e dei documenti citati nella seconda sessione

  • Banca d’Italia, "Nuove disposizioni di vigilanza prudenziale per le banche" in http://www.bancaditalia.it/vigilanza/banche/normativa/disposizioni/vigprud (circolare della Banca d'Italia n. 263 del 27 dicembre 2006, e successivi aggiornamenti, con la quale sono stati recepiti le direttive comunitarie 2006/48/CE e 2006/49/CE ed il documento "Convergenza internazionale della misurazione del capitale e dei coefficienti patrimoniali. Nuovo schema di regolamentazione" del Comitato di Basilea per la vigilanza bancaria, cd. "Basilea II"). Il testo indicato qui di seguito è quello della circolare n. 263 come modificato dal 3° aggiornamento del 15 gennaio 2009, qui in pdf zip  
  • Bank for International Settlements (BIS), "Compliance and the compliance function in banks", 29 aprile 2005, qui in pdf  
  • Anna Maria Tarantola, La funzione di compliance nei sistemi di governo e controllo delle imprese bancarie e finanziarie, 4 ottobre 2007 qui in pdf  
  • Committee of European Banking Supervisors (CEBS), Consultation paper (CP 24) High-level principles for risk management, 8 April 2009, in http://www.c-ebs.org/getdoc/0861a22e-0eb8-4449-9b3a-f4b1959267c7/CP24_High-level-principles-for-risk-management.aspx 
  • CONSOB, Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo a fini di riciclaggio e di finanziamento del terrorismo delle società di revisione iscritte nell’Albo speciale previsto dall’art. 161 del Decreto Legislativo 24 febbraio 1998, n. 58 e contemporaneamente iscritte nel Registro dei revisori contabili, ai sensi dell’art. 7, comma 2, del Decreto Legislativo 21 novembre 2007, n. 231, documento di consultazione, 11 ottobre 2010 in http://www.consob.it/main/documenti/Regolamentazione/lavori_preparatori/consultazione_revisione_20101011.htm?hkeywords=&docid=1&page=0&hits=10 

Link

ComplianceNet: