Tesi in "Compliance", intervista a Daniele Monaco
Nuova segnalazione di tesi di laurea in "Compliance". Dopo l’intervista a Simone Scolastici è ora la volta di Daniele Monaco. Di seguito una breve intervista, un estratto della sua tesi dal titolo "Outsourcing e Compliance" e l’indice completo della tesi.
Cristina Cellucci: Buongiorno Daniele e grazie per la collaborazione. Che tipo di studi hai condotto? Quando ti sei laureato?
Daniele Monaco: Buongiorno. Mi sono laureato a dicembre del 2008 in "Economia e Management" presso l’Università di Roma Tre, discutendo una tesi in Economia e Gestione delle Imprese dal titolo "Outsourcing e Compliance".
Cristina Cellucci: Perché hai deciso di fare la tesi proprio in "Compliance"?
Daniele Monaco: Sono stato consigliato dal professor Aguiari , membro del consiglio direttivo dell’Associazione Italiana Compliance (AICOM) e con cui ho preparato e discusso la tesi. Ho avuto l’opportunità di partecipare al convegno "la Compliance nella Pubblica Amministrazione" organizzato da AICOM nel giugno 2008 e lì ho intuito l’importanza e l’attualità della funzione di conformità e la conseguente necessità di figure professionali da parte delle aziende. Ho approfondito poi il tema analizzando l’evoluzione della Compliance nel settore finanziario, nelle aziende e anche nelle società che si occupano di Information Technology, valutando l’opportunità di affidamento della funzione in outsourcing. Al riguardo vorrei pubblicamente ringraziare la dottoressa Elisa Dellarosa responsabile della commissione di studio AIRA sulla Compliance che mi ha aiutato, durante la tesi, nell’individuare ed analizzare alcuni aspetti della esternalizzazione della funzione di compliance.
Cristina Cellucci: Recentemente hai partecipato al convegno "Funzione di Compliance" del 28 e 29 gennaio 2009 organizzato da dall'Associazione Italiana Responsabili Antiriciclaggio (AIRA) del quale hai scritto anche un resoconto per ComplianceNet. Che impressione hai avuto del mondo aziendale rispetto alle tue esperienze "accademiche" sulla compliance?
Daniele Monaco: Il convegno è stato utile per capire come le aziende e le banche svolgono sul campo la Compliance, come la funzione si rapporta con le altre realtà aziendali, quali metodi vengono utilizzati e quali figure professionali sono richieste. È stato poi confermata l’opportunità di affidare fasi della funzione in outsourcing, con esempi pratici e concreti che hanno confermato ciò che ho studiato e trattato a livello universitario.
Cristina Cellucci: Parliamo del tuo futuro professionale. Dopo la laurea che tipo di esperienza lavorativa vorresti fare? La tua specializzazione in "Compliance" è ricercata?
Daniele Monaco: Sicuramente mi piacerebbe intraprendere un percorso lavorativo in ambito Compliance, iniziando anche con stage in banche o in aziende che mi diano la possibilità di maturare esperienza nel settore e successivamente di crescere professionalmente.
Cristina Cellucci: Come è possibile contattarti?
Daniele Monaco: La mia email è danielemonaco1983@libero.it.
Cristina Cellucci: Grazie Daniele.
Daniele Monaco: Grazie a voi
Estratto tesi "Outsourcing e Compliance"
La tesi "Outsourcing e Compliance ", discussa nel dicembre 2008 presso l’Università degli Studi di Roma Tre, ha analizzato la pratica dell’outsourcing in riferimento alla funzione di Compliance.
Attraverso un’analisi dei principali aspetti legati alla creazione ed implementazione della funzione compliance, in diversi settori aziendali, è stato possibile dimostrare l’effettiva convenienza di esternalizzare alcune tematiche o attività a terzi, siano essi organismi associativi di categoria o provider con competenze specifiche.
Il riferimento di base per l’outsourcing delle funzioni operative essenziali è presente, per il settore finanziario, nel Regolamento congiunto Banca d’Italia - Consob del 29 ottobre 2007. Nel titolo III sono elencate una serie di regole da seguire quando, nella prestazione di servizi e di attività di investimento, gli intermediari affidano ad un terzo l’esecuzione di funzioni operative essenziali o importanti. L’outsourcing della compliance, che rientra di diritto tra le funzioni importanti, è possibile per fasi di attività ma non per la responsabilità della funzione stessa, che rimane di competenza della banca, e che non deve essere delegata da parte degli organi aziendali. I compiti esternalizzati devono rimanere comunque soggetti ad un’appropriata supervisione e in ogni caso deve essere nominato un responsabile della funzione di compliance interno.
La prima parte del lavoro si è concentrata sul settore finanziario, dove è stato individuato e studiato l’approccio alla compliance delle Banche di Credito Cooperativo. È prevista qui la possibilità che la funzione di conformità possa esser svolta parzialmente dalla Federazione Regionale, organismo associativo di secondo grado del Credito Cooperativo. L’attività si concretizza in primo luogo in un supporto di tipo giuridico-legale con le banche locali che possono contare sull’esperienza istituzionale delle Federazioni in tema di assistenza tecnico-legale e nell’analisi di normative relative a: lotta al riciclaggio, usura, privacy, servizi di investimento, intermediazione assicurativa, abusi di mercato, responsabilità amministrativa dell’ente e sicurezza sul lavoro.
Le Federazioni possono offrire in outsourcing anche il controllo mediante ricognizioni in loco e in remoto per verificare la conformità dei processi e rilevare le eventuali carenze. L’attività più complessa per le Federazioni regionali ad oggi rimane quella di carattere organizzativo in quanto l’effettiva conformità e mitigazione dei rischi di violazione delle normative può essere garantita solo agendo sulla revisione dei processi, mediante la riorganizzazione delle attività svolte. I vantaggi dell’affidamento della funzione alle Federazioni consistono, oltre alle specifiche professionalità giuridiche, organizzative e di controllo qui garantite, nella coerenza con i progetti nazionali di categoria sul Sistema dei controlli Interni e sulla Progettazione Organizzativa, nella possibilità inoltre di fruire di metodologie e strumenti operativi garantiti a livello di sistema e in un migliore coordinamento con la funzione di Internal Audit (peraltro già esternalizzata con successo). Le principali criticità derivano dall’eterogeneità organizzative delle realtà bancarie e nella mancanza di Service Level Agreements di riferimento.
La trattazione ha riguardato anche il settore dell’Information Technology, settore attualmente tra i più ceduti in outsourcing. L’utilità di affidare all’esterno determinate fasi di un processo di Compliance, soprattutto in assenza di personale specificatamente qualificato, deriva dalla complessità e dalla numerosità delle norme IT cui un azienda deve conformarsi. Tra queste quelle che comportano maggiori difficoltà sono ad esempio i Payment Card Industry Data Security Standard (PCI DSS), per tutte le aziende che gestiscono dati di carte di credito o debito, gli Health Insurance Portability and Accountability Act (HIPAA), per le aziende che si occupano di “healtcare”, il Gramm-Leach-Bliley Act (GLBA) per le società finanziarie. La necessità di essere conformi ai nuovi e numerosi adempimenti legali introdotti richiede quindi di trasformare la gestione dell’IT e della sicurezza da una logica di "servizio ed esercizio" a una di "due diligence e controllo", con un cambiamento dei ruoli e delle responsabilità che avvicini l’IT e la gestione della sicurezza alle strategie di Corporate Governance. Il tipico approccio alla compliance, basato su una risposta puntuale alle singole normative aumenta i costi, riduce la visibilità sulla capacità globale di controllo e porta ad uno spreco di risorse. L’approccio "reattivo" (fare un progetto ogni volta che se ne presenta la necessità) crea una complessità che fa lievitare dal 30 al 50% il Total Cost of Outsourcing della Compliance dell’azienda. Senza un programma integrato la funzione diventa complessa, poco flessibile, vulnerabile ed esposta al rischio. Attraverso una gestione in outsourcing della conformità dei servizi di Compliance di Information Technology è possibile aiutare le organizzazioni ad allineare i propri sforzi con le parti più importanti delle normative a livello nazionale e internazionale.
Il programma offerto dai provider si basa solitamente su un framework completo, basato su standard comuni del settore e fondato su best practice e sistemi di controllo; si aiutano i clienti a costruire programmi proattivi di sicurezza che possono efficacemente abbattere i muri che spesso isolano i silos organizzativi in materia di Compliance. Alcuni provider offrono servizi consultivi che costituiscono il primo passo verso la pianificazione e l’attuazione di una gestione efficace del rischio IT e di non-compliance. Dopo avere completato la valutazione base del rischio, si classificano e pianificano le opzioni di mitigazione del rischio stesso, quantificandone l’impatto aziendale. Si progettano soluzioni, si allineano rischi e i costi IT con il business per ottimizzare gli investimenti e sviluppare una funzionalità unificata per gestire il rischio su base continuativa.
I passaggi fondamentali che vengono posti in essere sono:
- censimento delle attività “compliance-related”, analizzando l’impatto che ciascuna normativa causa sull’organizzazione del cliente;
- automatizzazione dei controlli, impiegando tecnologie in grado di raccogliere le evidenze e generare i report necessari a dimostrare la conformità. Ciò permette di risparmiare tempo e condurre controlli più frequenti e più efficienti, allocando le risorse IT a funzioni più importanti per il business.
- individuare un framework di controlli applicabile a più normative, basato su principi e pratiche standard, in modo che un unico insieme di controlli possa gestire la conformità a più regolamenti, riducendo i costi e l’impegno necessari alla manutenzione e all’aggiornamento dei controlli stessi;
- definire processi e procedure formali di gestione.
Un ulteriore esempio di outsourcing relativo alla compliance è quello relativo alla gestione di una singola norma. Attualmente le due norme la cui gestione presenta caratteri particolarmente complessi per le aziende e le istituzioni finanziarie sono quelle relative al Market Abuse e alla Tutela della Privacy. Nel primo caso si esternalizzeranno parte delle attività che dovranno essere svolte nel rispetto delle disposizioni in ambito Market Abuse, garantendo l’efficientamento dei processi, l’abbattimento dei costi legati al personale dedicato e la relativa formazione. Il servizio garantisce competenze e know-how, mantenendo il cliente la responsabilità ed il corretto controllo sull’operatività e sulle segnalazioni agli Organi di Vigilanza. Allo stesso modo la Tutela della Privacy, in seguito all’entrata in vigore dal gennaio 2004 del nuovo "Codice della Privacy", viene garantita attraverso l’analisi e la documentazione dei sistemi informativi, la valutazione dei rischi privacy, l’analisi delle carenze di sistemi e le procedure su cui è necessario intervenire. Gli interventi si concentrano poi sulla stesura del Documento Programmatico di Sicurezza (DPS) e sulla gestione dei rapporti con il Garante della Privacy.
Si può concludere affermando che gli esempi evidenziati mostrano benefici non indifferenti nell’affidare parte della funzione in outsourcing, in attesa che vengano disciplinati nel dettaglio, e per ogni settore, ruoli e responsabilità dell’outsourcer e i rapporti con i responsabili interni della funzione.
Indice della tesi
- Capitolo primo: l’outsourcing
- 1.1 Introduzione
- 1.2 Le principali attività esternalizzate
- 1.3 Il processo di Outsourcing
- 1.4 Le tipologie di Outsourcing
- 1.5 Rischi dell’Outsourcing
- 1.5.1 Il rischio di insourcing
- 1.6 Le 5 cause di fallimento di progetto di outsourcing
- 1.7 I costi di Outsourcing
- 1.8 Il contratto di outsourcing
- 1.9 Prospettive dell’Outsourcing
- Capitolo secondo: la funzione di compliance
- 2.1 Introduzione e storia
- 2.2 Il rischio di "non compliance "
- 2.3 Rischio legale e reputazionale
- 2.4 Modelli organizzativi nella funzione di Compliance
- 2.5 I rapporti con gli amministratori e gli altri organismi di controllo
- 2.6 Costi di Compliance
- 2.7 Lo sviluppo recente nella compliance
- 2.7.1 Sarbanes Oxley Act
- 2.7.2 Basilea II
- 2.7.3 MiFID
- 2.8 La situazione in Italia
- 2.8.1 Associazione Italiana Compliance (AICOM)
- 2.9 L’Organismo di Vigilanza ex d.lgs 231/2001
- 2.9.1 I costi di attuazione del modello
- 2.10 Le principali norme in Italia
- Capitolo terzo: outsourcing della compliance nel settore finanziario
- 3.1 Introduzione
- 3.2 La normativa per le banche: il primo approccio di esternalizzaazione delle funzioni di controllo
- 3.3 Il riferimento all’esternalizzazione del Regolamento congiunto Banca d’Italia-Consob 29 ottobre 2007
- 3.4 L’esternalizzazione della compliance nelle banche
- 3.4.1 Il processo di esternalizzazione della Compliance
- 3.5 Il ruolo del Consiglio di Amministrazione
- 3.6 Principio di proporzionalità
- 3.7 L’esternalizzazione della Funzione nelle piccole banche
- 3.7.1 Il caso Federazione Lombarda
- 3.8 L’esternalizzazione della funzione nel caso di gruppi bancari…
- Capitolo quarto: outsourcing della compliance dell’information technology
- 4.1 Introduzione
- 4.2 La normativa e gli standard di riferimento
- 4.3 L’esternalizzazione della Compliance IT
- 4.4 Il programma Symantec per l’IT Compliance
- 4.5 Il caso VeriSign Global SecurityConsulting
- Capitolo quinto: esperienze di outsourcing della Compliance
- 5.1 KPMG
- 5.1.1 Il Corporate Performance&Compliance Management…….
- 5.2 Il gruppo Studio Monte: l’outsourcing parziale della compliance per le piccole e medie imprese
- 5.3 La gestione in outsourcing del Market Abuse: il caso Kedrios..
- 5.4 La gestione in outsourcing della sicurezza e della privacy: il caso Admedia
- 5.5 Il controllo dell’outsourcing: la qualità dei processi delle società che erogano il servizio
- Capitolo sesto
- Conclusioni
Articoli simili in questo sito
Articoli di Daniele Monaco in questo sito
- Download PDF
- Versione stampabile
- 3637 letture