Resoconto del convegno ABI "Compliance in Banks 2008" - parte terza

Questa è la terza parte del resoconto del convegno "Compliance in Banks" che si è svolto il 29 e 30 ottobre 2008 a Roma, organizzato da ABI. Nella prima parte dell’articolo abbiamo riferito delle relazioni presentate nella sessione introduttiva plenaria, dal titolo "la compliance in banca: funzioni e responsabilità". Nella seconda parte abbiamo presentato i lavori della seconda sessione dal titolo "gestione del rischio di compliance e le relazioni tra funzioni di controllo". In questa terza parte riportiamo i contenuti della "sessione finale plenaria" di giorno 30 a cui hanno partecipato Gianfranco Torriero, direttore centrale ABI, Alessandro Carretta, Ordinario di Economia degli Intermediari Finanziari Università di Roma Tor Vergata, Antonio Berardi, Compliance Process Management Unicredit Group, Luigi Spada, capo ufficio vigilanza e albo intermediari e agenti di cambio CONSOB, Raimondo Marcialis, direttore generale MC Gestioni SGR, Alberto Porzio, responsabile direzione compliance Banca Leonardo, Diana Capone, area funzionale vigilanza creditizia e finanziaria Banca d’Italia.

La compliance in banca: i temi aperti e le prospettive, Gianfranco Torriero, direttore centrale, responsabile area centro studi e ricerche, ABI

Chairman della sessione finale è stato Gianfranco Torriero direttore centrale di ABI poi sostituito da Claudia Pasquini responsabile settore analisi e gestione rischi di ABI. Torriero ha esordito sottolineando come i temi affrontati in quest’ultima sessione sono particolarmente rilevanti. Tre i focus sui quali si confronteranno i relatori:

1. la diffusione della cultura della compliance in banca e nei gruppi bancari;
2. gestire il rischio di compliance nel mercato dei servizi di investimento: la regolamentazione e i temi critici;
3. gli organi di governo e l’armonizzazione dei flussi informativi in tema di controlli e rischi.

Alessandro Carretta, Ordinario di Economia degli Intermediari Finanziari, Università di Roma Tor Vergata (focus n. 1, la diffusione della cultura della compliance in banca e nei gruppi bancari)

Alessandro Carretta  ha ricordato che il tema della "cultura della compliance" è già stato abbondantemente sviscerato e commentato sia in sede di autorità di vigilanza sia presso gli intermediari. Va ribadito però con forza che senza il collante culturale le altre componenti del processo di compliance (il rispetto delle norme, la collocazione organizzativa, la misurazione dei rischi) sono insufficienti per una efficace governance. Non c’è compliance senza cultura aziendale della compliance.
Nella sua relazione in particolare il professor Carretta si è concentrato su tre temi:

1. perché si parla di cultura della compliance?
2. quando si sviluppa la cultura della compliance?
3. come si crea la cultura della compliance?

Perché si parla di cultura della compliance?

"Perché è così evocato, nella compliance, il tema della cultura?"si è chiesto Carretta. Solo perché lo richiede la normativa? Nel documento del 2005 di Basilea sulla compliance si legge: "compliance starts at the top "; la compliance quindi parte dal vertice dell’organizzazione ed è tanto più efficiente quanto più la cultura aziendale enfatizza valori quali l’onestà ed il rispetto delle regole e dove i top manager lead by example, cioè danno l’esempio.

Anche la Banca d’Italia insiste sul tema della cultura della compliance e ciò in coerenza con l’evoluzione dello stile della vigilanza che si è orientata sempre più per principi generali ed esempi di buone pratiche: autonomia significa infatti  cultura.
Ma è vero che la vigilanza enfatizza la cultura? Il professor Carretta ha mostrato i risultati di un test. Utilizzando un software di analisi del linguaggio sono state analizzate norme di Banca d’Italia passate e presenti; ebbene c’è effettivamente un progressivo spostamento dalla forma alla sostanza. Si fa strada quindi l’idea che la compliance sia un modo di comportarsi più che la mera adesione a norme.
"Ma cos’è la cultura?" si è chiesto Carretta.
La cultura è il modo di comportarsi quando non si pensa alle regole ma ci si comporta spontaneamente; è qualcosa che si trova nella corteccia cerebrale, nel DNA; la cultura è il motore che fa lavorare ogni giorno i bancari; è importante che la compliance entri in questa cultura.
Ma se la cultura orienta i comportamenti allora la stessa cultura deve estendersi all’intera azienda: non ci possono essere due culture.

Quando si sviluppa la cultura della compliance?

Ebbene, afferma Carretta, la risposta è semplice ed anche un po’ brutale. La cultura si sviluppa quando conviene, cioè quando la compliance risolve i problemi quotidiani dei bancari e dei banchieri. La compliance diventa veramente parte dell’organizzazione e della cultura dell’organizzazione quando fa fare carriera, permette di guadagnare di più, fa ottenere la stima dei capi, fa contenti i clienti.
Nel 700 Giacinto Dragonetti  scrisse "Delle virtù e dei premi" opera che si contrapponeva al più famoso "Dei delitti e delle pene" di Cesare Beccaria; l’idea di Dragonetti era: perché invece di penalizzare i comportamenti non conformi non si premiano i comportamenti virtuosi? Lo stesso approccio dovrebbe adottare la compliance. Occorre, in altre parole, incentivare i comportamenti corretti. Così deve fare la compliance in azienda. Ma ci vuole molto tempo per modificare l’attuale cultura dell’organizzazione. Si prenda  l’esempio del concetto d’errore: l’errore in azienda viene considerato come qualcosa da nascondere o come un’occasione per ripensare i processi?
Se in azienda vige una cultura del primo tipo (l’errore va nascosto) sarà difficile imporre una cultura della compliance. Se vige una cultura del secondo tipo (errore come occasione di ripensare i processi) sarà più facile intervenire; anche le bad practices ci aiutano a capire cosa migliorare.

Come si crea la cultura della compliance?

Carretta indica due fasi:

1. diagnosi
2. terapia.

Nella fase di diagnosi occorre acquisire consapevolezza del tipo di cultura della organizzazione in cui si opera e misurare il grado di adattamento (fitness) della compliance usando indicatori quali la valutazione dell’errore, l’orientamento al tempo ed ai risultati, ecc.
Nella seconda fase, la terapia, occorre avere un piano di azione culturale: non si deve agire solo sulle norme ma anche sul piano culturale per ridurre il gap. I passi del piano culturale sono quelli classici:

1. capire che il cambiamento conviene all’organizzazione perché conviene all’individuo
2. sviluppare un vero progetto e non un libretto di intenzioni da sventolare al personale
3. fare passi nella direzione giusta: a cominciare, come ricorda Basilea, dal top management.

Occorre in un certo senso sviluppare una mitologia della compliance il cui messaggio implicito deve essere che chi lavora nella funzione compliance fa carriera più velocemente degli altri. 

Infine due parole sull’indagine del 2008 di Basilea sulla compliance. I dati rivelano che lo strumento più usato per rafforzare la compliance è la formazione. Preoccupante invece il dato che in pochi utilizzano incentivi per chi lavora in compliance. Anche se può sembrare rozzo, è fondamentale "premiare" i delatori, coloro cioè che rivelano alle funzioni di controllo le inefficienze ed i comportamenti non conformi.
Un altro strumento fondamentale è la comunicazione interna all’organizzazione. Carretta si aspetta a riguardo strumenti "morbidi", soft, che devono contrastare nel tempo l’atteggiamento con cui oggi si guarda agli uomini e donne della funzione compliance visti come "costi che camminano".

Antonio Berardi, Head of Compliance Process Management, Unicredit Group (focus n. 1, la diffusione della cultura della compliance in banca e nei gruppi bancari)

"Scoppiettante" intervento (anche grazie agli effetti sonori) di Unicredit che ha mostrato alcuni esempi degli strumenti, anche innovativi, usati per diffondere la cultura della compliance in banca. È stata, in primo luogo, creata una intranet dedicata alla compliance; la intranet fornisce strumenti utili anche per la discussione interattiva quali la "bacheca interattiva".
Per facilitare l’informazione e la comunicazione sui temi della conformità Unicredit utilizza anche strumenti quali "Comix", strisce a fumetti, quiz interattivi con supporti multimediali

Luigi Spada, capo ufficio vigilanza e albo intermediari e agenti di cambio, CONSOB (focus n. 2, gestire il rischio di compliance nel mercato dei servizi di investimento: la regolamentazione e i temi critici)

Il dottor Spada ha incentrato il suo intervento sul processo di consolidamento del processo di compliance negli intermediari finanziari ad un anno dall’entrata in vigore della MiFID.

La compliance nel nuovo contesto MiFID assume queste caratteristiche:

• controlla e valuta l’adeguatezza e l’efficacia delle procedure interne dell’intermediario
• previene il rischio di comportamenti non corretti e trasparenti
• assume valenza strategica nel mantenimento delle corrette relazioni con la clientela
• fornisce vantaggi duraturi
• costituisce una componente importante del processo di creazione del valore aziendale.

In sintesi, ha ribadito Spada, la compliance nella MiFID ha l’obiettivo primario di prevenire il rischio di non conformità alle regole di condotta per la prestazione dei servizi di investimento.
È fondamentale rammentare, ha ricordato Spada, che la MiFID si applica anche alla distribuzione di obbligazioni bancarie proprie (mercato primario).

Regole di condotta per la prestazione dei servizi di investimento

La MiFID ha modificato la natura stessa della prestazione dei servizi di investimento: si passa dalla mera vendita di prodotti alla fornitura di servizi, dalla contrapposizione di interessi alla condivisione di interessi.
Questo spostamento verso una estensione della "logica di servizio" è rilevante anche per il mercato primario. Spada ha definito tale cambiamento come un passaggio dalla "immanenza della disciplina del prodotto (prospetto) all’immanenza delle disciplina del servizio".
Il dottor Spada si è poi concentrato sulla centralità delle verifiche di compliance che devono articolarsi su tre punti

• piano strategico
• assetto procedurale
• comportamento operativo.

Le verifiche sul piano strategico riguardano le politiche commerciali e gli incentivi del personale: è necessario evidenziare eventuali incoerenze e conseguenti rischi di non conformità.
Come esempio Spada ha portato il caso anomalo, emerso durante le ispezioni, di intermediari che hanno clientela di profilo prevalentemente medio-basso con vendita però di prodotti complessi senza consulenza; ciò non possibile e verrà sanzionato.
Anche le politiche commerciali ed i piani di incentivo del personale devono passare al vaglio della compliance: occorre un dialogo preventivo tra compliance e vertice aziendale fino all’eventuale adattamento o ripensamento dell’iniziativa commerciale.
Infine Spada si è soffermato sul documento di consultazione CONSOB sulla distribuzione dei prodotti illiquidi.
In conclusione è stata ricordata la crisi dei mercati e le sfide di "conformità": è necessario trovare un equilibrio fra "interesse proprio" ed interessi esterni; Spada ha ricordato quanto scritto da Emilio Bodin, presidente del Banco Santander, sul Sole24ore del 17 ottobre 2008: "la priorità è rimettere al centro il cliente. E per fare questo dobbiamo offrire valore, servizi e prodotti adeguati e adatti alle loro necessità. Dobbiamo fornire prodotti a prezzi ragionevoli…"

Raimondo Marcialis, direttore generale, MC Gestioni SGR (focus n. 2, gestire il rischio di compliance nel mercato dei servizi di investimento: la regolamentazione e i temi critici)

Il dottor Marcialis ha fornito un ampio quadro di sintesi delle problematiche della compliance nell’ambito dei servizi di investimento.

Alberto Porzio, Responsabile Direzione Compliance, Banca Leonardo (focus n. 2, gestire il rischio di compliance nel mercato dei servizi di investimento: la regolamentazione e i temi critici)

Il dottor Porzio ha illustrato l’esperienza del suo Istituto nell’ambito delal costituzione della funzione di compliance.

Diana Capone, Area Funzionale Vigilanza Creditizia e Finanziaria, Banca d’Italia (focus n. 3: gli organi di governo e l’armonizzazione dei flussi informativi in tema di controlli e rischi)

La dottoressa Capone ha esordito precisando che il suo intervento avrebbe avuto un taglio "teorico" con l’obiettivo di rendere un quadro normativo semplificato delle nuove regole di governance in banca, regole che seguono l’approccio principle e risk based.
La vigilanza basata su regole e principi è necessaria, ha ricordato Capone, perché Banca d’Italia vuole lasciare spazio alla competenza e all’innovazione degli intermediari senza lacci e laccioli.
Infine la dottoressa Capone ha precisato che il suo intervento riguarda solo di banche non le imprese di investimento.
"Perché solo oggi la necessità di regolare i flussi informativi?" si è chiesta Diana Capone.
Il ratio della regolamentazione dei flussi informativi nasce dal mutato quadro di riferimento: le organizzazioni aziendali sono più complesse e tendono sempre più all’innovazione; il modello organizzativo gerarchico-funzionale non è più sufficiente. Anche per quanto riguarda l’IT si va,a  rapidi passi, verso un sistema informativo policentrico. Nel settore finanziario la crescente interconnessione tra i rischi comporta necessità di una gestione integrata che può realizzarsi solo con una stretta comunicazione tra funzioni.
La regolamentazione dei flussi informativi riduce, in tale nuovo complesso contesto, i cosiddetti costi da incertezza dunque è necessario arrivare ad una loro formalizzazione.
La creazione del valore in azienda passa anche dai risparmi di questo tipo di costi legati all’incertezza: se in banca ci sono soggetti che dovrebbero dare informazioni e che non lo fanno si crea inefficienza, rischio e spreco.
L’occasione per la definizione e formalizzazione dei flussi informativi sono le "Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche" emanate da Banca d’Italia nel marzo 2008. Le banche ed i gruppi bancari dovranno verificare la coerenza dei propri assetti di governo con le nuove disposizioni e realizzare gli eventuali interventi correttivi entro il termine del 30 giugno 2009. La Vigilanza seguirà con attenzione le iniziative di attuazione della disciplina. Le scelte organizzative, come sempre, dovranno essere calibrate sulle caratteristiche dimensionali, strutturali e operative di ciascun intermediario, secondo il criterio guida della proporzionalità, e illustrate in un apposito progetto di governo societario.
Gli obiettivi generali perseguiti dalle nuove disposizioni, ha sottolineato Diana Capone, sono:

• la chiara distinzione delle funzioni e l’appropriato bilanciamento dei poteri;
• l’equilibrata composizione degli organi;
• un sistema dei controlli integrato ed efficace;
• meccanismi di remunerazione coerenti con le politiche di gestione del rischio e le strategie di lungo periodo;
• flussi informativi idonei a consentire scelte gestionali consapevoli.

Nel rispetto dell’autonomia statutaria, le disposizioni fanno riferimento alle funzioni – di supervisione strategica, di gestione e di controllo – che assumono rilievo ai fini di vigilanza; esse devono essere ripartite tra gli organi aziendali, o all’interno degli stessi, in modo che siano chiaramente definiti i rispettivi compiti e sia possibile instaurare una costruttiva dialettica e corrette dinamiche di controllo.

La disciplina dei flussi informativi

Anche per i flussi informativi le nuove disposizioni non fissano criteri prescrittivi. I principi però sono chiari:

• I flussi informativi devono assicurare la circolazione di informazione al livello della struttura aziendale e tra gli organi sociali anche a livello di gruppo. 
• La circolazione di informazioni tra gli organi sociali rappresenta una condizione imprescindibile affinché siano effettivamente realizzati gli obiettivi di efficienza della gestione ed efficacia dei controlli, tra gli organi e negli organi.
• Massima cura deve essere applicata per tutelare la riservatezza delle informazioni.

Gli strumenti normativi che la vigilanza auspica siano adottati sono:

• formalizzazione in un regolamento aziendale di tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi;
• individuazione dei soggetti tenuti a inviare, su base regolare, flussi informativi agli organi aziendali;
• previsione che in particolare i soggetti che svolgono funzioni di controllo debbano riferire direttamente ai vertici;
• determinazione del contenuto minimo dei flussi informativi;
• enfasi sui flussi relativi ai rischi ed alle operazioni innovative.

L’obiettivo è assicurare la piena circolarità delle informazioni sia a livello micro che macro. Per garantire ciò la singola banca ed il gruppo deve dare evidenza della propria architettura informativa architettura che deve essere coerente d integrata nel progetto complessivo del governo della banca.

I flussi informativi possono essere:

• interorganici:
  • l'organo di controllo riferisce agli organi di supervisione strategica e gestione delle anomalie;
  • l'organo di gestione riferisce all’organo con funzione di supervisione strategica (nel dualistico).
• intraorganici:
  • funzione di raccordo del Presidente
  • amministratori non esecutivi (informazioni dal management,dalle funzioni di controllo)
  • comitati (di controllo interno, esecutivo, nomine, remunerazioni…)

È fondamentale garantire i seguenti criteri:

• strutturazione di flussi informativi con il sistema dei controlli e rapporto diretto con i responsabili (che “concorrono” a nominare)
• coordinamento a livello di gruppo
• obbligo di riferire le carenze riscontrate agli organi con funzioni di supervisione strategica e gestione
• vigilanza sull’adeguatezza e sulla rispondenza del sistema di gestione e controllo dei rischi, nonché del processo ICAAP, ai requisiti stabiliti dalla normativa. Per lo svolgimento delle proprie attribuzioni dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo interno
• scelta del revisore contabile e coordinamento nel continuo.

La dottoressa Capone ha poi tratteggiato le caratteristiche delle diverse funzioni aziendali facenti parte del Sistema dei controlli interni (SCI).

L’Internal Audit è una attività indipendente di revisione interna che:

• controlla, anche con verifiche in loco, la regolarità dell’operatività e l’andamento dei rischi
• valuta funzionalità del complessivo sistema dei controlli interni
• segnala agli organi di vertice aziendali possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione ed alle procedure.

Per le banche più piccole è possibile esternalizzare l’Internal Audit a terzi sulla base di un accordo formalizzato e previa comunicazione all’O.d.V.
L’Internal Audit deve poter accedere a tutte le attività svolte all’interno della banca e anche a quelle svolte in outsourcing da soggetti terzi.
Deve esistere un regolamento che ne stabilisce attività, scopi e responsabilità, definito da organi di vertice e reso noto a tutta la struttura.

I compiti della funzione di internal audit sono:

• valutare l’efficacia e l’efficienza del sistema di controllo interno
• verificare l’adeguatezza dei sistemi e delle procedure di risk management
• controllare l’affidabilità dei sistemi informativi
• effettuare test periodici sul funzionamento delle procedure operative e di controllo interno
• verificare la rimozione delle anomalie riscontrate
• svolgere un ruolo di consulenza e supporto in materia di controlli interni a vantaggio delle varie unità organizzative e delle componenti del gruppo.

 La Compliance

I compiti della funzione di compliance sono:

• l’identificazione nel continuo delle norme applicabili e la misurazione/valutazione d’impatto su processi e procedure
• la proposta di modifiche organizzative e procedurali per il presidio dei rischi individuati
• il reporting a organi di vertice e a funzioni/strutture interessate
• la verifica dell’efficacia degli interventi organizzativi suggeriti
• la consulenza ai vertici aziendali e alle strutture operative
• la collaborazione nell’attività di formazione del personale.

È importante sottolineare, ha ricordato la dottoressa Capone, che la compliance deve poter svolgere un ruolo centrale per conflitti di interesse/prodotti innovativi/sistema premiante.
Per quanto, infine, riguarda l’organizzazione della funzione di compliance, la configurazione organizzativa è rimessa alle autonome scelte aziendali ma in modo da assicurare:

• la coerenza con le dimensioni e l’operatività dell’azienda
• l’assetto organizzativo e strategico della gestione dei rischi.

Il responsabile della conformità può svolgere la funzione attraverso la direzione di una struttura dedicata ovvero la gestione e il coordinamento, per i profili di competenza, di risorse inserite in aree operative diverse e a cui sono assegnati compiti di compliance.

Rapporti della funzione di compliance con altre funzioni aziendali di controllo

È necessaria una stretta collaborazione tra la funzione di compliance e le altre aree coinvolte nella gestione e controllo dei rischi ferma restando l’indipendenza, in quanto la compliance:

• accelera la formazione e il consolidamento di una cultura aziendale del controllo e della conformità;
• consente lo sviluppo di metodologie di compliance risk management coerenti con le strategie e il business aziendale;
• con riferimento all’Operational Risk Management, può valorizzare il contributo della funzione di conformità sotto il profilo della misurazione dei rischi “condivisi”.

La funzione di compliance è soggetta a revisione periodica da parte dell’Internal Audit.

Sui rapporti fra Internal Audit e Compliance la dottoressa Capone ha ricordato il position paper AIIA -AICOM che recita

"…Per assicurare un efficace ed efficiente funzionamento del Sistema dei Controlli Interni e per indirizzare e coordinare la complessiva attività di controllo interno, è opportuno che le due Funzioni si coordinino periodicamente, stabilendo un adeguato scambio di flussi informativi sulle attività svolte e sui relativi esiti. Per espletare le rispettive attività, infatti, le due funzioni necessitano delle reciproche informazioni raccolte: in particolare, l’Internal Audit, nell’ambito della valutazione complessiva del Sistema dei Controlli Interni, si avvarrà dei risultati del risk assessment svolto dalla Funzione di Compliance, mentre quest’ultima, nell’ambito della valutazione dei rischi di non conformità e reputazionali, terrà conto degli esiti delle verifiche effettuate anche dall’Internal Audit…"

Conclusioni

Nelle sue conclusioni Diana Capone ha sottolineato le differenze nel sistema dei controlli interni (SCI) tra quanto previsto dalla disposizioni di vigilanza del 1998 (ieri) e quanto indicato dalle le "Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche" emanate da Banca d’Italia nel marzo 2008.
Ieri lo SCI era un classico sistema piramidale articolato su più livelli gerarchici:

• controlli di linea di primo livello
• controlli di secondo livello (compliance, risk manager)
• controlli di terzo livello (internal audit)
• controlli del vertice aziendale e del CdA.

Oggi lo SCI, pur in presenza degli stessi attori, non è più rappresentabile come una piramide perché le aziende sempre più trasformano la loro organizzazione da struttura gerarchica a struttura a rete; lo SCI stesso assume una forma reticolare dove i flussi informativi tra i diversi attori sono la linfa vitale per garantire l’efficacia.
Un framework di controllo che può essere di valido aiuto per gestire il nuovo modello dei controlli, ha concluso la dottoressa Capone, è l’ERM, EnterpriseRisk Management  - Integrated Framework di COSO, Committee of Sponsoring Organizations of the Treadway Commission.

Piero BOCCASSINO, Responsabile Direzione Centrale Compliance, Intesa Sanpaolo (focus n. 3: gli organi di governo e l’armonizzazione dei flussi informativi in tema di controlli e rischi)

L’intervento del dottor Bocassino si è articolato su tre punti:

1. il modello di compliance in Intesa San Paolo
2. il progetto compliance
3. il reporting integrato dei rischi e dei controlli.

Il modello di compliance in Intesa San Paolo

Il gruppo Intesa SanPaolo ha recentemente operato un riassetto organizzativo, semplificando la struttura di governo e rafforzando il sistema dei controlli, nella prospettiva di allinearsi alle best practice internazionali.
È stata introdotta la figura del Chief Risk Office (CRO) nell’ambito della quale vengono concentrate le funzioni di Risk Management, Compliance, Legale e presidio della qualità del credito alla fine di garantire una completa indipendenza dalle funzioni di business nella gestione di tutti i rischi aziendale.
Al Chief Risk Office risponde la Direzione Centrale Compliance che ha come aree di presidio:

• Retail
• Corporate e Investment Banking
• Coordinamento di gruppo e norme trasversali
• Controlli operativi.

È stato infine creato il Comitato Compliance che viene convocato dal Responsabile della Direzione Centrale Compliance e presieduto dal Chief Risk Officer e che vede la partecipazione, tra gli altri, dei responsabili della Direzione Centrale Risk Management, della Direzione Centrale Legale e Contenzioso e dei referenti chiave delle Business Unit. Il Comitato è stato istituito per gestire al meglio il trade-off tra evoluzioni del business e verifica della conformità con disposizioni di legge e regolamenti.

Il progetto compliance

Gli obiettivi del progetto sono stati:

• effettuare un assessment delle modalità in essere di presidio di conformità a livello di gruppo
• dettagliare il ruolo della Direzione Compliance ed il modello delle relazioni con le altre funzioni aziendali
• declinare puntualmente le regole di funzionamento
• valutare i rischi di conformità ed i relativi presidi
• declinare operativamente il modello su tutti gli ambiti

I prodotti finiti del progetto compliance sono stati:

• policy compliance di gruppo
• matrice di presidio dei rischi di conformità
• macro processi di compliance
• disegno strumenti di supporto (tableau de bord)
• metodologia di valutazione dei rischi
• programmazione attività 2009

Per quanto riguarda i perimetro normativo di rilievo per le attività di compliance, le norme individuate sono:

• servizi di investimento
• intermediazione assicurativa
• market abuse
• sollecitazione all’investimento
• trasparenza dei servizi bancari
• antiusura
• pratiche commerciali scorrette
• responsabilità amministrativa degli enti
• antiriciclaggio
• embarghi ed antiterrorismo
• antitrust
• dirigente preposto
• privacy
• sicurezza sul lavoro e tutela ambientale.

Il reporting integrato dei rischi e dei controlli

Nel 2008 è stato definito il modello per gestire processi, rischi e controlli in modo integrato, con l’obiettivo di favorire l’efficientamento della raccolta delle informazioni presso i process owner. Ciò ha permesso la costituzione di un reporting integrato dei rischi e dei controlli, una sorta di tableau de bord contenente tutte le variabili di controllo di interesse comune fornite dalle varie funzioni coinvolte in modo integrato. Il linguaggio comune è l’albero dei processi dove sono rappresentate le diverse aree/attività di business.

Fine terza parte

• Leggi la seconda parte
• Leggi la prima parte

Altri articoli di ComplianceNet su "Compliance in Banks"

• Annuncio e programma del convegno 2008
• Resoconto del convegno ABI "Compliance in Banks 2008" (parte prima, seconda e terza)
• Compliance in Banks 2007:
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte prima)
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte seconda)
  • ABI – Compliance in Banks 2007 – Resoconto degli interventi (parte terza)
  • Compliance in Banks 2007 – Intervista a Marco Pigliacampo di ABI Formazione