Resoconto del convegno ABI "Compliance in Banks 2008" - parte seconda

Questa è la seconda parte del resoconto del convegno "Compliance in Banks" che si è svolto il 29 e 30 ottobre 2008 a Roma, organizzato da ABI. Nella prima parte dell’articolo abbiamo riferito delle relazioni presentate nella sessione introduttiva plenaria, dal titolo "la compliance in banca: funzioni e responsabilità". In questa seconda parte presentiamo i lavori della seconda sessione dal titolo "gestione del rischio di compliance e le relazioni tra funzioni di controllo", condotta da Claudia Pasquini, responsabile settore analisi e gestione rischi di ABI e con la partecipazione di Mario Anolli, preside della facoltà di scienze bancarie e finanziarie, Università Cattolica di Milano, Roberto Garnero, Senior Manager di Nike Consulting, Enrico Bertulessi, Unicredit Group, Marco Di Antonio, ordinario di economia degli intermediari finanziari Università di Genova, Fabrizio Sarrocco, responsabile financial performance management - financial services, Accenture.
Nota: riportiamo solo le relazioni della sessione a cui abbiamo partecipato. Il convegno ha proposto altre due sessioni: "il framework normativo ed i processi di governance della compliance" e "la funzione di compliance: sviluppo, risorse umane e profili contrattuali" l’elenco dei cui relatori è disponibile qui.

Claudia Pasquini, responsabile settore analisi e gestione rischi, ABI

"Un mese fa, in questa stessa sala", ha ricordato Pasquini, "abbiamo presentato il "Libro Bianco sul Pillar 2"e ci siamo interrogati sul rapporto fra il processo ICAAP di autovalutazione del capitale e la funzione di compliance."
Adesso è la volta del "Libro bianco sulla funzione compliance" e questa sessione del convegno "Compliance in Banks 2008" presenta due delle 6 aree tematiche del "Libro":

1. area tematica 3: "ridisegno del sistema dei controlli", coordinata da Marco Di Antonio
2. area tematica 4: "approcci alla misurazione del rischio di compliance", coordinata da Mario Anolli.

Il fil rouge di questa sessione è tentare di trovare sinergie fra metodologie ed organizzazione, sinergie tanto più necessarie quanto più la compliance va intesa come funzione aziendale che crea valore.

Mario Anolli, Preside della Facoltà di Scienze Bancarie e Finanziarie, Università Cattolica di Milano, la misurazione del rischio di compliance: un possibile approccio metodologico

Il prof Anolli ha esordito sottolineando che il "Libro bianco sulla funzione compliance" è un vero lavoro di ricerca dato che le conclusioni a cui si è arrivati sono state originali e diverse rispetto alle ipotesi di partenza. Anolli è stato il coordinatore dei lavori della sezione sugli "approcci alla misurazione del rischio di compliance"; l’approccio alla misurazione parte da un paradigma classico: le banche sono imprese, dunque creano valore e sono soggette a rischi. I rischi sono misurabili e possono essere coperti dal patrimonio messo a disposizione dagli azionisti che a loro volta sono remunerati dal valore che l’impresa crea.
Se applichiamo tale paradigma al rischio di compliance, la domanda diventa: è possibile dare un "valore" economico alle prescrizioni di conformità? Si può misurare il rischio di non conformità?
La presentazione si Mario Anolli si è articolata in tre punti:

1. le fasi del processo di misurazione del Compliance Risk;
2. metriche di rischio;
3. costruzione della base di dati.

Processo di misurazione del rischio di compliance

Il prof Anolli ha ricordato che il Rischio di Compliance (RCo) ha delle precise peculiarità: è difficile da quantificare, generalmente poco compreso, assunto come "inevitabile ", non "prezzabile ", non sempre coerente con il principio "rìschio /rendimento atteso ", difficile da coprire/assicurare. Tutto ciò porta a problemi nel processo di misurazione di tale rischio. Infatti:

• alcuni eventi hanno impatto (perdita) difficilmente quantificabile
• vi è carenza di dati
• si è di fronte ad eventi rari (probabilità di accadimento ridotta) ma con conseguenze rilevanti (severity elevata)
• la storia è poco indicativa.

Occorre inoltre  ragionare preliminarmente anche sugli obiettivi del sistema di misurazione, obiettivi che possono essere:

• di tipo passivo: volti all’aggregazione dell’informazione
• di tipo attivo, volti a:
  • allocazione del capitale economico
  • misure di performance adeguate per il rischio
  • politiche di pricing dei prodotti
  • correzione di incentivi all’assunzione di rischio da parte delle unità operative

È possibile, tuttavia, individuare alcuni Key Risk Indicator (indicatori del rischio) tipici del rischio di compliance, quali ad esempio:

Tipologie di indicatori	Obiettivo	Esempio	Valenza predittiva
Indicatori di esposizione	Indicano l’andamento di grandezze patrimoniali ed economiche da cui possono essere identificati eventi e normative rilevanti per l’azienda	Incidenza (in termini di numero) delle estinzioni dei rapporti con clientela per cause legate alla trasparenza del rapporto sul totale delle estinzioni	Media
Indicatori di anomalia	Identificano situazioni critiche, che si stanno materializzando o già verificatesi, legate al possibile non raggiungimento degli obiettivi di presidio della norma	Numero dl operazioni non adeguate sul totale ordini di investimento registrati	Alta
Indicatore di perdita	Evidenziano le perdite dirette a conto economico subite a seguito dl sanzioni derivanti dal mancato rispetto di norme	Incidenza (in termini di importo) delle perdite operative relative a reclami/sanzioni in materia di trasparenza bancaria sul margine di intermediazione	Bassa

 

È importante, inoltre, dotarsi di "allarmi" o Early Warning come di seguito suggerito.

 

Tipologia	Obiettivo	Descrizione	Frequenza	Soglia
Early Warning	Evidenziano situazioni di mancato rispetto della normativa che possono generare sanzioni/reclami da parte della clientela; richiedono un intervento mirato di sistemazione	Numero delle carte di debito revocate d’ufficio in via definitiva per mancato pagamento o mancata costituzione dl fondi per le quali non è stata eseguita la segnalazione in CAI	Giornaliera	diverso 0

 

Metriche di rischio

Per quanto riguarda la misurazione (quantitativa) del rischio di compliance, Anolli ha presentato tre diversi approcci.

Primo approccio: perdita attesa

Secondo questa metodica, pur con le difficoltà e caratteristiche proprie del rischio di compliance, la sua misurazione deve seguire, come per gli altri rischi, tre passi logici:

1. identificazione delle possibili fonti di rischio (mapping)
2. stima della probabilità di accadimento (PE)
3. stima della severity (dimensione della perdita potenziale - LGE)

Per quanto riguarda il mapping, la classificazione degli eventi da tenere sotto controllo prevede due categorie:

• High frequency - low impact events (HFLI)
  • più facili da stimare sia come frequenza sia come perdita
  • possibile lavorare su dati interni
• Low frequency - high impact events (LFHI)
  • più difficili da stimare
  • opportunità dati di sistema

Il calcolo della perdita attesa diventa:

 EL=PE•LGE

La perdita inattesa può essere ricavata:

• in modo aggregato per l’intera banca sulla base di serie storiche interne
• separatamente per ogni unità di business utilizzando serie storiche interne come deviazione standard delle perdite di ogni unità
• separatamente per ogni fattore di rischio utilizzando i dati storici di settore raccolti da associazioni di categoria o da fornitori esterni

Secondo approccio: Earnings-at-Risk (EaR)

Un secondo approccio è il cosiddetto approccio earnings-at-risk (EaR) che si basa sulla volatilità degli utili.
L’approccio EaR ha degli innegabili vantaggi: è indipendente dalla natura dei redditi, non richiede di esplicitare categorie di rischio, è adatta anche per rischi di difficile misurazione e per attività che implicano assunzione di posizioni e variabilità di flussi reddituali.
Tuttavia vi sono anche dei forti limiti: trascura la variabilità del profilo di-rischio di alcune attività, a parità di volatilità degli utili (storici), è utilizzabile solo per unità con vita lunga priva di modificazioni economiche o istituzionali per avere seria storica adeguata, non è utilizzabile per calcolare il capitale a rischio di singole transazioni e quindi per calcolare il pricing per operazioni nuove (assenza di una serie storica).

Terzo approccio: stime di dati di mercato

Il terzo approccio si basa su stime di dati di mercato. È la cosiddetta metodologia "event studies" che si basa sul divario tra la perdita finanziaria comunicata al mercato e la reazione del mercato stesso nei confronti del prezzo dell’azione. Se divario è maggiore rispetto alla perdita si ha un danno di reputazione.

Base dati interna e base di dati consortili

Infine per quanto riguarda il terzo punto della sua relazione, il professor Anolli ha proposto i diversi approcci alla costituzione delle basi di dati necessarie per la misurazione quantitativa del rischio di compliance.
Si possono utilizzare basi di dati interne, arrivando in autonomia alla definizione degli eventi e criteri di classificazione, alla modalità di rilevazione e registrazione delle perdite ed alla definizione e realizzazione del processo di raccolta e archiviazione dei dati.
È anche possibile, e forse opportuno, far affidamento a basi di dati esterne, sviluppate su base consortile, ovviamente con riservatezza e uniformità della classificazione degli eventi e definizione delle soglie oltre le quali procedere alla segnalazione. Una base dati di questo tipo è la ABI-DIPO.

Roberto Garnero, Senior Manager, NIKE consulting, il processo di Compliance Risk Self Assessment: metodologia e strumenti operativi

Obiettivo dell’intervento di Roberto Garnero è stata l’individuazione di strumenti di supporto alla funzione di Compliance. In particolare gli strumenti proposti da NIKE consulting permettono:

1. monitoraggio dei comportamenti posti in essere dai responsabili delle diverse strutture aziendali
2. assegnazione dei controlli di conformità da svolgere in tali strutture
3. tracciabilità e verificabilità delle attività di controllo sulla conformità svolte dalle strutture operative.

La presentazione si è articolata in due punti

1. Processo di compliance
2. Compliance self risk assessment

Processo di compliance

Il modello proposto da NIKE consulting prevede le seguenti fasi del processo di compliance:

• Pianificazione
• Identificazione, misurazione e valutazione dei rischi
• Monitoraggio e test
• Consulenza, orientamenti sulla conformità, formazione
• Reporting

Il dottor Garnero si è concentrato, in particolare, sulla fase di identificazione, di valutazione e sulla fase di monitoraggio e test.

Identificazione

Per quanto riguarda la "identificazione" assume particolare importanza la sottofase di "identificazione dei requisiti", in quanto i requisiti normativi possono essere distinti in due macrocategorie:

1. requisiti di "impianto", in cui si richiede (vedi ad esempio l’articolo 37 del Regolamento Consob 16190 del 29/10/2007) alla Banca di dotarsi di specifici elementi strutturali (es. contratti, procedure organizzative, sistemi informatici)
2. requisiti di "funzionamento", in cui si richiede alla Banca che l’operatività sia svolta secondo specifiche modalità (es. che i comportamenti del personale rispondano a specifici standard)

Garnero sottolinea come la distinzione dei requisiti di impianto e di funzionamento risulta "vantaggiosa"” per guidare l’approccio da tenere nella verifica del rispetto del requisito stesso.
"Le verifiche di impianto sono effettuate accertando se il contenuto della prescrizione è stato adeguatamente recepito da parte dell’azienda in un documento di impostazione. Le modalità di riscontro dei requisiti di impianto presuppongono l’identificazione del documento in cui il requisito è riscontrabile."
Ad esempio si dovrà verificare (una tantum) che il contratto preveda le clausole ed i riferimenti che la normativa prevede.
Viceversa "Le verifiche di funzionamento sono effettuate accertando che i comportamenti prescritti siano stati recepiti da una normativa interna e che la stessa sia effettivamente applicata. Riprendendo l’esempio già introdotto, si dovrà verificare che i contratti siano effettivamente sottoscritti dal cliente e consegnati allo stesso."

Valutazione

La stima del rischio si deve basare su scale di priorità. Si tratta ovviamente di valutazioni di tipo soggettivo spesso strutturate sulle nozioni di rischio inerente e di rischio residuo, in linea con quanto utilizzato dalle funzioni di risk management.
Il rischio inerente è una grandezza ricavabile per astrazione, che rappresenta il rischio che una attività incorpora prima di considerare i controlli o altri fattori di mitigazione che sono stati posti in essere. Spesso il rischio inerente è valutato con riferimento ai requisiti di funzionamento, anche per la difficoltà di valutare le possibili sanzioni legate a rischi di impianto, che sono normalmente il risultato di una valutazione complessiva delle scelte organizzative dell’intermediario, piuttosto che dell’esame di un singolo comportamento.
Il rischio residuo è il rischio che non è eliminato dai meccanismi di controllo o dalle caratteristiche dell’ambiente operativo e normalmente è determinato senza considerare gli effetti positivi della attività delle funzioni di compliance e di revisione interna.
Il livello del rischio residuo è dunque funzione dell’esistenza e dell’efficacia/efficienza del controllo.
La negoziazione ed esecuzione di interventi correttivi può modificare il profilo di rischio, abbassando ulteriormente il rischio residuo.
Rispetto al rischio inerente rappresenta la realtà che il business affronta quotidianamente ed è quindi stimabile più facilmente rispetto al rischio inerente.

Compliance self risk assessment

Verifiche di funzionamento effettuate in Self Assessment

I soggetti responsabilizzati nelle esecuzione delle attività di test in Self Assessment possono, a titolo esemplificativo, appartenere alle seguenti categorie:

• referenti di compliance inseriti nelle strutture operative (es. nelle  strutture divisionali)
• responsabili operativi su strutture commerciali (es. Area Manager)
• responsabili operativi sulle strutture coordinate
• titolari di filiale
• unità specialistiche, incaricate di presidiare specifici comparti normativi (es. Sicurezza 81/08)
• referenti di Compliance previsti nelle Società del Gruppo

Per questo tipo di autoverifica è utile predisporre una scheda descrittiva del test di funzionamento, trasmessa al tester e che contenga i seguenti elementi:

• frequenza del test
• descrizione
• tester
• metodologia (es. intervista, inquiry, esame della documentazione, riesecuzione dell’attività)
• popolazione esaminata

Il test è effettuato dal tester nel rispetto delle indicazioni trasmesse dalla Compliance ed è tracciabile, riscontrabile ex post nelle posizioni esaminate e nelle conclusioni espresse. Le schede compilate sono trasmesse alla compliance; il materiale esaminato è archiviato per accertamenti successivi.
La compliance, in sede di verifica presso l’unità esaminata, ha la possibilità di validare l’attività di testing effettuata, oppure di eseguire nuovamente il test con un nuovo campionamento.

Verifiche di impianto effettuate in Self Assessment

Le attività di Self Assessment sui requisiti di impianto sono spesso sviluppate con lo scopo di responsabilizzare le strutture operative nella attivazione degli interventi strutturali funzionali ad assicurare la conformità.
Attraverso il CRSA si richiede al responsabile del Business (es. Responsabile di Divisione, Responsabile di Branch) di attestare la conformità dell’operatività alle normative cogenti. Tale modalità di assessment è spesso prevista per funzioni a carattere direttivo con ampie responsabilità anche nella impostazione dell’attività.
Le attività di Compliance Self Risk Assessment per essere efficaci richiedono numerosi fattori critici di successo, quali:

• strumentazione adeguata alla complessità, alle dimensioni ed alla "maturità" della Banca
• rigore metodologico
• commitment
• cultura dei controlli

In conclusione, gli strumenti utilizzati da NIKE consulting sono complementari ad ABICS, il legal inventory di ABI, che costituisce uno standard di riferimento per le fasi di monitoraggio della normativa e per l’analisi di impatto sui processi ABILAB.
NIKE consulting ha predisposto una base dati MATRICO utile per la gestione aziendale dei requisiti, del relativo impatto con i processi aziendali, dei test, dei CRI e degli strumenti di mitigazione che le banche possono usare in modo complementare rispetto ad ABICS.
NIKE consulting offre, infine, supporto alla funzione di Compliance su MATRICO nonché la personalizzazione delle associazioni dei processi aziendali, dei test, dei Compliance Risk Indicator e degli strumenti di mitigazione.
 

Enrico Bertulessi, Unicredit Group, Compliance Risk Mapping: primi output e potenziali utilizzi futuri

Il dottor Bertulessi ha illustrato l’approccio metodologico usato nel gruppo Unicredit per quanto riguarda la Compliance. Il primo problema che è stato affrontato ha riguardato la definizione di un linguaggio e di un approccio comune per tutte le società del gruppo diverse sia in termini di business che di identità nazionali e dunque norme di riferimento.
Il progetto si è articolato nelle seguenti fasi:

1. valutazione del rischio di non conformità
2. definizione degli interventi da fare
3. comunicazione di tali interventi
4. monitoraggio

con il supporto di strumenti automatici in ogni singola fase.

Nel suo intervento Bertulessi ha approfondito le fasi 1 e 2.

Valutazione del rischio di non conformità

È stato definito inizialmente il perimetro normativo a cui far riferimento. Successivamente per ogni norma sono stati individuati i requisiti di legge, i rischi di non conformità, le possibili sanzioni e l’impatto del rischio inerente.
Queste attività sono state svolte da ogni banca in modalità self assessment; elementi ed indicatori che sono stati presi in esame sono:

• normativa bancaria
• procedure IT o manuali
• piani di formazione
• efficienza e presenza dei controlli
• fattori di mitigazione del rischio
• parametri di controllo
• indicatori ORM (rischio operativo)
• indicazioni dell’Internal Audit
• reclami su norme e requisiti.

La valutazione del rischio di non conformità è stata di tipo qualitativo; presi in considerazione tutti questi fattori si sono valutate, con scala qualitativa, la probabilità di accadimento ed il possibile impatto.
Il livello di rischio è stato calcolato sia per i singoli requisiti sia per l’intera norma.
La Compliance ha poi validato le valutazioni delle banche.
Alla fine è stata realizzata una matrice di sintesi per ogni banca che rappresenta la situazione per ogni area del rischio di non conformità. La matrice presenta in verticale il valore assoluto del rischio di non conformità e in orizzontale un aggiustamento in base al tipo di business svolto dalla banca.
Esempio: i requisiti sulle segnalazioni di partecipazioni sono importanti per la capogruppo ma non per le controllate.

Definizione degli interventi da fare

A partire dalle matrici sul rischio di compliance di ogni banca è stato definito il CAP, Compliance Activity Plan, ciè il piano delle azioni migliorative da compiere. Matrice e CAP sono state comunicate al collegio sindacale, al comitato audit/risk, al CdA.

Passi futuri

Il dottor Bertulessi ha spiegato che è intenzione della funzione Compliance di Unicredit Group arrivare ad una valutazione quantitativa del rischio di non conformità. Per arrivare a ciò il rischio di compliance è considerato una sottocategoria del rischio operativo e quindi la struttura ORM, che valuta il rischio operativo, valuterà e quantificherà anche il rischio di non conformità. Questo sarà possibile individuando i risk indicator per la compliance, cioè gli indicatori ex post sulle perdite adducibili al rischio di compliance.

Conclusioni

Nel concludere il suo intervento Bertulessi ha sottolineato due elementi fondamentali per il buon esito delle verifiche di conformità:

1. le valutazioni ex ante della compliance devono risultare coerenti con le analisi di audit (ex post); è quindi necessaria una stretta collaborazione fra le due funzioni di controllo.
2. Si devono sfruttare le conoscenze e competenze interne: non si può prescindere dal self-assessment.

Marco Di Antonio, Ordinario di Economia degli Intermediari Finanziari, Università di Genova, Controllo del rischio di compliance e ridisegno del Sistema dei Controlli Interni

Il professor Di Antonio ha tracciato un ampio quadro sul sistema dei controlli interni in banca secondo le disposizioni di vigilanza di Banca d’Italia .
La relazione di Di Antonio presenta tre messaggi chiave: la funzione di compliance

1. è parte del più ampio sistema dei controlli interni
2. sovraintende a / coordina un sistema
3. ha la finalità di creare valore.

Data la vastità dell’argomento, d’altra parte ben dettagliato nell’area tematica 3: "ridisegno del sistema dei controlli", coordinata proprio da Di Antonio, del "Libro bianco sulla funzione compliance", la presentazione si è limitata al primo punto.
Se si legge la definizione di Bankit di sistema dei controlli interni (SCI) si notano alcuni elementi particolarmente qualificanti: lo SCI si occupa anche della strategia aziendale e a sua volta comprende la verifica della conformità delle operazioni aziendali. Ciò implica una governante integrata dei rischi aziendali ed una chiara visione delle tipologie dei controlli:

• Controlli di linea
• Controllo dei rischi
• Revisione interna.

Per quanto riguarda i rapporti fra rischio di Compliance (RC) e Rischio Operativo (RO) ci sono delle differenze di cui tener conto:

• il rischio di reputazione è compreso nel RC ma non nel RO
• i rischi operativi riconducibili a cause esterne (frodi esterne, calamità naturali, ecc) non fanno parte del RC così come disfunzioni di processo che non generano perdite patrimoniali o rischi di reputation significativi.

Anche tra RC e RR (Rischio di reputazione) ci sono differenze; i 2 rischi non coincidono anche se il secondo è la principale conseguenza del primo;

• RC ma non RR: inadempienze contrattuali che producono perdita finanziarie significative ma senza impatto sulla reputation (mancato adempimento di un contratto di importo elevato con un fornitore)
• RR ma no RC: vendita di prodotti di bassa qualità (o alto prezzo) e quindi non competitivi crisi di liquidità aziendale o di settore.

Differenze tra RC e RL (Rischio Legale):

• RC ma non RL: inosservanza di regolamenti e procedure interne (violazione di statuto interno, codici di condotta, codici di autodisciplina)
• RL ma non RC: inadempienza di una ditta appaltatrice non prevista dal contratto di appalto ed in grado di danneggiare la banca sotto il profilo economico ma non reputazionale.

FC (Funzione Compliance) e ORM (Risk Management): differenze

	FC	ORM
Oggetto	RC	Rischi operativi
Obiettivi	Eliminazione RC Prevenzione RC	Ottimizzazione / riduzione RO
Contenuti	Valutazione del RC Predisposizione dei presidi organizzativi	Misurazione del RO Monitoraggio ex post
Approccio	Visione analitica dei rischi	Visione aggregata dei rischi
Metodologia	Bottom-up: analisi di tutti i processi esposti al RC	Top down: individuazione di classi di rischio ai fini di misurazione

FC e RI (Revisione Interna): differenze

	FC	RI
Oggetto	RC	Tutti i rischi
Obiettivi	Eliminazione RC Prevenzione RC	Adeguatezza, funzionalità ed efficacia dello SCI
Contenuti	Valutazione del RC Predisposizione dei presidi organizzativi	Valutazione di adeguatezza dei controlli
Approccio	Visione analitica dei rischi	Visione aggregata dei rischi
Metodologia	Bottom-up: analisi di tutti i processi esposti al RC	Top down: approfondimento delle aree a rischio elevato

 

Fabrizio Sarrocco, Responsabile Financial Performance Management - Financial Services, Accenture, La relazione della Funzione di Compliance con altre funzioni quali Risk Management e Internal Audit: vincoli e sinergie da cogliere

L’agenda della presentazione di Accenture è stata:

• Stato dell’arte
• Modello delle relazioni della Compliance nel quadro dei Controlli Interni e secondo un approccio di ERM
• Esempi di interazione con il Risk Management
• Esempi di nterazione con l’Internal Audit
• Conclusioni

Stato dell’arte

Si può affermare, sostiene Sarrocco, che finita la necessaria fase di gestazione iniziale, la funzione di compliance abbia ormai assunto un ruolo attivo nella governance, interagendo con le altre funzioni aziendali.
Se nella fase "costitutiva" gli sforzi si erano concentrati nel posizionamento organizzativo, nella definizione dei ruoli e responsabilità della nuove funzione e nella revisione del modello dei controlli interni, adesso che si è nella fase di "go live" l’attenzione è posta principalmente:

• interazione attiva con gli "utenti interni"
• consulenza richiesta dal business
• dati ed analisi per comitati e consigli
• escalation/accelerazione delle richieste del regulators (Banca d’italia, Consob)
• gestione rapporto con gli stakeholders (es. informativa ai mercati), enfatizzata nell’attuale contesto di crisi
• processo di demand interna per la messa a regime” del modello di compliance (investimenti in risorse, strumenti, metodologia, ...)  

In una survey svolta nel giugno 2008 da Accenture presso 6 tra i primari gruppi bancari italiani è emerso che:

• per quanto riguarda gli aspetti organizzativi, la situazione complessiva è più che buona (consolidata)
• per quanto riguarda processi e metodi si è ancora in fase di avvio: in particolare è in fase avanzata la predisposizione dei Compliance Plan ed il modello dei processi mentre è in fase embrionale lo sviluppo e la realizzazione della metodologia di Compliance Risk Assessment ed ancora poca enfasi è data alle attività inerenti la formazione e la promozione di una cultura di compliance a tutti i livelli
• per quanto riguarda la strumentazione IT la situazione è insoddisfacente: nessuno dei player interpellati dispone di strumenti di supporto delle diverse fasi del processo: legal inventory, conduzione CRA, verifica stato ed esito dei controlli, reporting integrato con sistema dei controlli di gruppo.

Modello delle relazioni della Compliance nel quadro dei Controlli Interni e secondo un approccio di ERM

La compliance deve diventare parte del modello dei controlli interni: è necessaria dunque l’adozione di un framework consolidato come l’ERM - Enterprise Risk Management – di COSO.
L’ERM permette in modo coerente:

• identificazione del rischi
• chiara definizione della propensione al rischio e della strategia di rischio
• solido processo di controllo rischi che ne includa una valutazione periodica
• efficaci tecniche di mitigazione
• strutturato sistema di governance dei rischi a diversi livelli dell’organizzazione
• approccio integrato di valutazione rischi/performance

Ovviamente, sottolinea Sarrocco, in tale contesto diventano cruciali le relazioni con le funzioni che compongono il sistema dei controlli interni ed il modello di ERM, in particolare RISK Management ed Internal Audit.

Esempi di interazione con il Risk Management

L’interazione operativa con il risk management ed Internal Audit si traduce nella condivisione di attività/processi e nel loro costante scambio di informazioni.
Un esempio di interazione tra Compliance e Risk Management è rappresentato proprio dal processo di Compliance Risk Assessment nella quale la collaborazione valorizza competenze e strumenti del Risk Management, lasciando alla Compliance un ruolo operativo e di coordinamento del processo.
In linea con la tipologia del rischio stesso, le valutazioni del CRA sono condotte con un approccio qualitativo e si basano su stime soggettive espresse dai responsabili di business sulla base della loro esperienza e della conoscenza del contesto operativo (approccio del tutto analogo al risk assessment condotto per il rischio operativo)

Un ulteriore esempio è rappresentato dal processo ICAAP che richiede a ciascuna funzione contributi coerenti con le proprie competenze e con l’ambito del rischio presidiato, come negli schemi di seguito riportati.

Il processo ICAAP

• definizione orientamenti strategici
• determinazione rischi rilevanti
• definizione modalità valutazione dei rischi/presidi
• valutazione di adeguatezza attuale e prospettica
• pianificazione del capitale
• rendicontazione

	Risk Management		Compliance	Audit
Strategia	Collaborazione nella definizione del risk appetite tramite la valutazione di tutti i rischi identificabili in funzione degli obiettivi di crescita delineati			Verifica indipendente di adeguatezza del processo ICAAP
Policy	Definizione congiunta delle policy per la qualità dei presidi e controlli a contenimento dei rischi			Disponibilità di evidenze/rilievi ispettivi su policy
IT	Disegna strumenti e data requirements	Utilizzo strumenti di risk assessment		Validazione sistemi informativi
Governo	Relazione periodica di adeguatezza patrimoniale (rendiconto come strumento di autogoverno) agli organi di governo	Contribuzione per sezioni di pertinenza Verifica rispetto di procedure / processi nella determinazione posizione patrimoniale		Validazione di terzo livello sul processo di revisione dell’adeguatezza patrimoniale. Relazione ad organo di controllo

Esempi di interazione con l’Internal Audit

L’ampia visibilità sull’operato della Banca fa della compliance un interlocutore privilegiato dell’Internal Audit per la ricerca di informazioni ed approfondimenti su tematiche normative. Un esempio di interazione nasce dall’identità di approccio (per processi) e dalle sinergie tra il modello dei controlli di Compliance e controlli a distanza dell’Audit.

Conclusioni

Le principali istituzioni finanziarie italiane hanno avviato la Funzione di Compliance declinandone modello organizzativo e perimetro. I prossimi imperativi nell’agenda del Compliance Officer sono: attivazione operativa del modello di funzionamento e dotazione applicativa.
 
L’inquadramento del modello operativo della Compliance nell’ambito del Sistema dei Controlli Interni ed in un’ottica di Enterpise Risk Management rendono irrinunciabile una chiara definizione delle interazioni tra queste tre funzioni.

Relazioni tra Compliance ed Internal Audit
L’Internal Audit è chiamata a garantire attraverso "controlli di terzo livello " la complessiva tenuta dell’impianto organizzativo/operativo della banca, mentre la Compliance svolge attività di "controllo di secondo livello " tese alla valutazione e monitoraggio di conformità al quadro normativo della strategia/operatività aziendale a tutela degli interessi di clienti e azionisti
Da un lato dunque la Compliance diventa uno dei soggetti oggetto di vigilanza da parte dell’Internal Audit (che sottopone il modello dei controlli del rischio di non conformità ai propri controlli di 3° livello); dall’altro può esistere un rapporto biunivoco di servizio che si traduce nello scambio vicendevole di flussi informativi e nella condivisione di tecniche e metodologie di valutazione del rischi.
Compliance e Risk Management condividono il "posizionamento" all’interno del modello dei Controlli Interni, ove entrambe assumono responsabilità di controllo di 2° livello sebbene su rischi diversi (Credito, Finanziario, Operativo il Risk Management, di non conformità la Compliance). Avendo obiettivi comuni in termini di identificazione, misurazione e gestione dei rischi aziendali, le due funzioni condividono naturalmente metodi, strumenti e set di informazioni (metodologie di identificazione, valutazione, misurazione dei rischi)
Inoltre il rischio di Compliance include esplicitamente alcune tematiche gestite dal Rischio Operativo (ad esempio il rischio di sanzioni legali o amministrative, di perdite finanziarie derivanti dal mancato rispetto di regolamenti, procedure interne e codici di condotta)
In linea generale, coerentemente al ruolo ed alle responsabilità similari, la relazione tra le due strutture è quindi improntata ad un’ampia e reciproca collaborazione. In particolare, oltre che nella condivisione e collaborazione in specifiche attività, tale sinergia si deve manifestare naturalmente in un’organicità e complementarietà della rispettiva informativa prodotta nei confronti dell’Alta Direzione e degli Organi di Governo e Controllo Societario, in termini di approccio complessivo alla valutazione e gestione del rischio

Fine seconda parte

• Leggi la prima parte
• Leggi la terza parte 

Altri articoli di ComplianceNet su "Compliance in Banks"

• Annuncio e programma del convegno 2008
• Resoconto del convegno ABI "Compliance in Banks 2008" (parte prima, seconda e terza)
• Compliance in Banks 2007:
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte seconda)
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte terza)
  • Compliance in Banks 2007 – Intervista a Marco Pigliacampo di ABI Formazione