Le funzione di conformità alle norme nell`ambito del Sistema dei

Transcript

Le funzione di conformità alle norme nell’ambito
del Sistema dei Controlli Interni delle Banche
a cura di Francesco Manganaro
11 Gennaio 2014
1
Obiettivo del seminario
•
Il Sistema dei Controlli Interni, la gestione dei rischi, i principi di corporate governance, etc. per gli intermediari
creditizi sono stati impattati nel tempo da una proliferazione di norme che ha richiesto un continuo e
progressivo adeguamento da parte delle banche e dei gruppi bancari al fine di garantire una sana e prudente
gestione, nonché la stabilità del sistema finanziario
•
Da ultimo il 2 luglio 2013 Banca d’Italia ha emanato le nuove Disposizioni di Vigilanza prudenziale per le
Banche, in materia di «Sistema dei controlli Interni, Sistema informativo e Continuità operativa» (15°
aggiornamento della Circ. 263/2006) che, oltre a prevedere significative novità, costituiscono un compendio
organico rispetto alla frammentazione normativa preesistente. La nuova disciplina intende infatti razionalizzare
il quadro normativo preesistente alla luce dei provvedimenti emanati in materia negli ultimi anni
•
In tale contesto, il presente seminario si propone l’obiettivo di:
Rappresentare sinteticamente il contesto evolutivo della normativa in materia di SCI
1
2
3
2
Illustrare le caratteristiche essenziali di Sistema dei Controlli Interni
Analizzare le caratteristiche della Funzione di Compliance
Le Nuove Disposizioni di Vigilanza
Quadro normativo di riferimento
Evoluzione del contesto esterno
•
•
•
4
Con la circolare di Banca d’Italia sul
sistema dei controlli interni del 1999, è
stato avviato un percorso evolutivo che si è
articolato
mediante
la
progressiva
introduzione da parte delle Autorità di
Vigilanza di principi e presidi volti a rendere
sempre più efficace e solido il complessivo
Sistema dei Controlli Interni
GLI STEP PRINCIPALI DEL PERCORSO EVOLUTIVO
1999
Istruzioni di Vigilanza - Sistema dei controlli interni
DIRETTIVE
EUROPEE
2001
D.Lgs 231/2001 – 2005/60/CE
Modello Organizzativo e OdV
2005
2006/70/CE
L. 262/05 Riforma del risparmio - Dirigente Preposto
Tale percorso ha condotto alla proliferazione
di strutture organizzative di controllo, con
responsabilità che possono risultare in alcuni
casi in sovrapposizione fra loro ridondanti
2006
Circ. 263 Nuove disposizioni di vigilanza
prudenziale per le banche
Il quadro delineatosi ha richiesto – in un’ottica
di consolidamento ed evoluzione del Sistema
dei Controlli Interni – l’esigenza di un
complessivo efficientamento delle strutture e
dei presidi di controllo, con una visione
unitaria delle esigenze e delle priorità
dell’intermediario
2008
Governo societario
2007
La funzione di conformità
2010
Governance, compliance e
controlli interni per il rischio
riciclaggio
2013
Revisione disposizioni di
vigilanza in materia di
organizzazione e controlli
interni
Quadro normativo di riferimento
Le nuove Disposizioni di Vigilanza
•
Le nuove disposizioni sono state inserite nel 15° aggiornamento della Circolare 263 del 2006 ed in particolare
nel Titolo V il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» ed il Capitolo
9 «la continuità operativa»
Obiettivi
Rafforzamento
della capacità
delle banche di
gestire i rischi
Revisione
organica
dell’attuale
quadro
normativo
Definizione di un
quadro normativo
omogeneo basato
sul criterio della
proporzionalità
Allineamento
alla direttiva
comunitaria
(CRD IV)
15° aggiornamento alle Nuove Disposizioni di Vigilanza prudenziale
5
Quadro di riferimento normativo
Il coordinamento con le normative preesistenti alla nuova disciplina
•
Nell’ambito del percorso di adeguamento le norme abrogate, perché superate dalle nuove disposizioni, sono:
Norme
abrogate
•
6
•
Circolare 229 del 1999 «Istruzioni di vigilanza per le banche - Sistema dei controlli interni,
compiti del collegio sindacale»
•
La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle “Nuove
disposizioni di vigilanza prudenziale per le banche”, Circolare n. 263
•
Disposizioni di vigilanza - la funzione di controllo di conformità alle norme delle banche
(Comunicazione del 10 luglio 2007);
•
Disposizioni di vigilanza – Esternalizzazione del trattamento del contante (Comunicazione del
7 maggio 2007);
•
Disposizioni di vigilanza – Continuità operativa in casi di emergenza (Comunicazione del luglio
2004);
•
Disposizioni di vigilanza – Requisiti particolari per la continuità operativa dei processi di
rilevanza sistemica (Comunicazione del marzo 2007)
•
Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito, limitatamente agli
aspetti concernenti le banche e le capogruppo di gruppi bancari
Le nuove Disposizioni non abrogano invece il Provvedimento recante disposizioni attuative in materia di
organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti
che svolgono attività finanziaria ai fini di riciclaggio e di finanziamento del terrorismo ai sensi del D. Lgs.
231/2007 del 10 marzo 2011 nonché la normativa congiuntamente emanata da Consob in materia di
prestazione dei servizi di investimento
Le Nuove Disposizioni
I principali impatti
1. GOVERNANCE
4. INTERNAL AUDIT
• Collocazione organizzativa
• Assetto organizzativo controlli IA
• Rafforzamento compiti di controllo su
metodologie di valutazione delle attività, risk
management, su criticità identificate dalla
società di revisione legale
• Rafforzamento obblighi di reporting verso
Banca d’Italia
• Pianificazione in funzioni dei rischi
•
•
•
•
•
Codice etico
Risk Appetite Framework
Operazioni di maggiorie rilievo
Nomina e revoca funzioni di controllo
Assegnazione al Collegio Sindacale dell’OdV
231/01
• Documento SCI
• Product approval
• Verifica annuale compliance SCI
6. RISK MANAGEMENT
• Collocazione organizzativa
• Rafforzamento dei poteri del Risk Management
• Definizione politiche di governo dei rischi e relativi
processi
• Sviluppo indicatori di controllo
• Analisi nuovi prodotti/servizi/nuovi mercati
• Rafforzamento obblighi di reporting verso Bankit
2. PERSONALE
5. COMPLIANCE
• Ampliamento del perimetro normativo della
funzione
• Ausilio alle strutture aziendali nella definizione
delle metodologie di valutazione dei rischi di
compliance
• Presidi aziendali specialistici
• Rafforzamento obblighi reporting a Banca
d’Italia
7
• Definizione percorsi formativi
• Procedure di valutazione quali quantitativa del
personale delle funzioni di controllo
• Consulenze per le funzioni di controllo
3. ORGANIZZAZIONE
• Approccio integrato alla gestione dei rischi
• Definizione dei controlli di linea
• Disciplina organica in materia di esternalizzazione
di funzioni aziendali
• Regole e procedure per la valutazione delle attività
7. ICT
• Definizione/revisione organizzazione ICT
• Introduzione di un modello di gestione integrata dei
Rischi Informatici
• Introduzione di un modello di gestione dei dati
(Data Governance)
• Definizione/Revisione criteri specifici per
l’esternalizzazione di sistemi e servizi ICT ivi
incluso l’outsourcing in modalità cloud computing
• Obbligo di predisposizione dei Documenti aziendali
per la gestione e il controllo ICT (Allegato A)
• Implementazione di misure in materia di servizi
telematici
• Obbligo di reporting verso Banca d’Italia dei
controlli svolti da parte dell’internal Auditing nei
confronti dell’outsourcer
• Rafforzamento requisiti in tema di Continuità
Operativa
• Obbligo in termini di segregazione dei compiti
• Obbligo di tracciatura delle transazioni (critiche)
Le tempistiche per l’adeguamento
•
Banca d’Italia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini di
adeguamento
•
Sono previste scadenze differenziate a seconda dell’intervento oggetto di adeguamento
•
Le banche sono chiamate ad adeguarsi alle nuove disposizioni, tenendo in considerazione il principio di
proporzionalità
2013
2014
2016
2015
Termini per l’adeguamento
2 luglio
2013
Emanazione
Disposizioni
di vigilanza
31 gennaio 2014
Termine autovalutazione e
inoltro a Bankit della relativa
relazione e contratti di
esternalizzazione
8
1 luglio 2014
Termine generale per
l’adeguamento
alle
disposizioni di cui al
Capitolo 7 (SCI) e al
Capitolo 9 (Continuità
Operativa)
1 Febbraio 2015
Termine generale
per l’adeguamento
alle disposizioni di
cui al Capitolo 8
(Sistema
Informativo)
1 luglio 2015
Termine
per
l’adeguamento
del
collocamento
organizzativo delle
funzioni di controllo di
secondo livello (linee
di riporto)
1 luglio 2016
Termine
per
l’adeguamento
dei
contratti
di
esternalizzazione ai
requisiti previsti dalle
disposizioni
La relazione di autovalutazione
• Nell’immediato Banca d’Italia ha richiesto alle banche di predisporre una relazione contenente
un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa
• La relazione di autovalutazione da inviare entro il 31 gennaio 2014 dovrà contenere:
•
i risultati della diagnosi della propria situazione aziendale rispetto alle previsioni della nuova normativa
(gap analysis)
•
le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle nuove
disposizioni
9
Il Sistema dei Controlli Interni
Il Sistema dei controlli interni
Definizioni
•
Per garantire una sana e prudente gestione, le banche devono coniugare nel tempo la profittabilità
dell'impresa con un'assunzione dei rischi consapevole e compatibile con le condizioni economico-patrimoniali,
nonché con una condotta operativa improntata a criteri di correttezza
•
A tal fine è indispensabile che le banche si dotino di adeguati sistemi di rilevazione, misurazione e controllo dei
rischi, coerentemente con le proprie dimensioni e la complessità della propria operatività
•
Il Sistema dei Controlli Interni (SCI) è costituito dall'insieme delle regole, delle funzioni, delle strutture,
delle risorse, dei processi e delle procedure che mirano ad assicurare il rispetto della sana e prudente
gestione, il conseguimento delle seguenti finalità
Verifica
attuazione delle
strategie e delle
politiche
aziendali
11
Contenimento
del rischio entro
i limiti indicati
nel Risk
Appetite
Framework
Salvaguardia
del valore
delle attività e
protezione
delle perdite
Efficacia ed
efficienza dei
processi
aziendali
Affidabilità e
Prevenzione
sicurezza del
salvaguardia
del rischio che
valoredelle
delle attività la banca sia
einformazioni
protezione dalle
coinvolta in
aziendali
e
perdite
attività illecite
delle
(antiriciclaggio
procedure
, usura, etc.)
informatiche
Conformità
operazioni con
la legge e la
normativa di
Vigilanza, con
le politiche,
regolamenti e
procedure
interne
La piramide
•
Vengono distinte tre diverse tipologie di controllo, a prescindere dalle strutture organizzative in cui sono
collocate:
•
•
•
12
i controlli di linea, diretti ad assicurare il corretto svolgimento
delle operazioni. Sono effettuati dalle stesse strutture
operative (ad es: controlli di tipo gerarchico, sistematici e a
campione), anche attraverso unità dedicate esclusivamente a
compiti di controllo che riportano ai responsabili delle strutture
operative, ovvero eseguiti nell’ambito del back office; per
quanto possibile, sono incorporati nelle procedure
informatiche
i controlli sui rischi e sulla conformità, hanno l'obiettivo di
assicurare la corretta attuazione del processo di gestione dei
rischi, il rispetto dei limiti operativi assegnati alle varie funzioni,
la conformità dell’operatività aziendale alle norme, incluse
quelle di autoregolamentazione. Le funzioni preposte a tali
controlli sono distinte da quelle produttive e concorrono alla
definizione delle politiche di governo dei rischi e del processo
di gestione dei rischi
l’attività di revisione interna, volta a individuare violazioni
delle procedure e della regolamentazione nonché a valutare
periodicamente la completezza, l’adeguatezza, la funzionalità
(in termini di efficienza ed efficacia) e l’affidabilità del sistema
dei controlli interni e del sistema informativo (ICT audit), con
cadenza prefissata in relazione alla natura e all’intensità dei
rischi
3° livello
Internal
Audit
2° livello
Risk Management,
Compliance,
Antiriciclaggio
DP ex Lege 262/05
1° livello
Controlli di linea
Collocazione organizzativa delle funzioni di controllo
CDA
Collegio Sindacale
Internal Auditing
Controlli di revisione interna
Alta Direzione
Compliance
Risk Management
Controlli sulla gestione dei rischi
Antiriciclaggio
13
Aree operative
Aree operative
Aree operative
Controlli di linea
Controlli di linea
Controlli di linea
Principali caratteristiche delle funzioni di controllo
•
Le Banche istituiscono funzioni aziendali di controllo (funzioni di gestione dei rischi e funzione di revisione
interna) permanenti e indipendenti
• Competenza e Autorità
• Risorse economiche adeguate,
eventualmente attivabili in autonomia
• Accesso ai dati aziendali e a quelli
esterni
• Tra loro separate (le funzioni di
controllo di secondo livello sono
separate dalla funzione IA)
Requisiti delle
• Funzioni di controllo di secondo
funzioni di
livello affidate ad unica struttura
controllo
• Possono essere affidate
ad un outsourcer esterno
• Collaborano tra loro e con
Coordinamento
le altre funzioni con lo scopo
delle funzioni di
di sviluppare metodologie di
controllo
controllo coerenti con le strategie
e l’operatività aziendale
• Compiti
e
responsabilità
delle
funzioni
comunicati
all’intera
organizzazione aziendale
• Articolazione dei flussi informativi tra
le funzioni aziendali di controllo (flussi
informativi
tra
le
funzioni
esternalizzate e tra queste ed i
referenti interni alle banche
14
• Possiedono requisiti di professionalità
adeguati
• Sono collocati in posizione gerarchicofunzionale adeguata
• Non hanno responsabilità diretta di
aree operative sottoposte a controllo
• Sono nominati e revocati dal CdA
sentito il Collegio Sindacale
Responsabili •
•
Riferiscono direttamente agli
delle funzioni di
organi aziendali
controllo
Gestione del
personale
• Politiche di gestione delle risorse
umane volte ad assicurare che il
personale sia provvisto di adeguate
competenze
• Linee guida per l’aggiornamento delle
risorse e per la definizione dei
programmi di formazione continua
• Il personale che partecipa alle funzioni
di controllo non deve essere coinvolto
in attività che tali funzioni sono
chiamate a controllare
Programmazione e rendicontazione delle funzioni di controllo
•
Per ciascuna funzione aziendale di controllo la regolamentazione interna indica responsabilità, compiti,
modalità operative, flussi informativi, programmazione dell’attività di controllo, in particolare:
Funzione di controllo di 2° livello
• Funzione di Conformità alle norme (Compliance)
• Funzione di controllo dei rischi (Risk
Management)
• Funzione Antiriciclaggio
Funzione di controllo di 3° livello
• Funzione di revisione interna (Internal Audit)
Flussi informativi vs organi aziendali
• presentano annualmente agli organi aziendali, • la funzione di revisione interna presenta
annualmente agli organi aziendali un piano di
ciascuna in base alle rispettive competenze, un
audit, che indica le attività di controllo pianificate,
programma di attività, in cui sono identificati e
tenuto conto dei rischi delle varie attività e
valutati i principali rischi a cui la banca è esposta
strutture aziendali; il piano contiene una specifica
e sono programmati i relativi interventi di
sezione relativa all’attività di revisione del sistema
gestione. La programmazione degli interventi
informativo (ICT auditing)
tiene conto sia delle eventuali carenze emerse
nei controlli, sia di eventuali nuovi rischi
identificati
• Le Funzioni aziendali di controllo, annualmente:
• presentano agli organi aziendali una relazione dell’attività svolta, che illustra le verifiche
effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottare
per la loro rimozione
• riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza,
adeguatezza, funzionalità e affidabilità del sistema dei controlli interni
• in ogni caso, informano tempestivamente gli organi aziendali su ogni violazione o carenza
rilevante riscontrate
15
La funzione di conformità alle norme
Organizzazione della Funzione Compliance
Il rischio di non conformità alle norme
Il rischio di non conformità alle norme, diffuso a tutti i livelli dell’organizzazione aziendale, è il rischio
di incorrere in taluni effetti avversi, in conseguenza di violazioni di norme imperative (di legge o di
regolamenti) ovvero di autoregolamentazione (es: codici di condotta, codici di autodisciplina)
Sanzioni giudiziarie o amministrative
Effetti
Avversi
Perdite finanziarie rilevanti
Danni di reputazione
La Funzione di Compliance presiede alla gestione del rischio di non conformità alle norme,
verificando che le procedure interne siano adeguate a prevenire tale rischio.
La Compliance nei gruppi bancari
Modello Accentrato
Le responsabilità sono accentrate presso la Funzione
di Compliance di Capogruppo
Presso le Controllate è individuato un REFERENTE
che svolge funzioni di collegamento con il
Responsabile della Funzione di Compliance
Modello Decentrato
Le responsabilità relative alle decisioni strategiche a
livello di Gruppo in materia di compliance sono
rimesse agli organi aziendali della Capogruppo
Presso ciascuna Controllata viene istituita la Funzione
di Compliance e nominato un RESPONSABILE che,
sulla base delle linee d’indirizzo della Capogruppo, è
responsabile del presidio del rischio di non conformità
in ambito aziendale
Misto
Le responsabilità relative alle decisioni strategiche a
livello di Gruppo in materia di compliance sono
rimesse agli organi aziendali della Capogruppo
Presso alcune Controllate viene istituita la Funzione di
Compliance e nominato un RESPONSABILE; talune
altre esternalizzano la Funzione di Conformità ala
Capogruppo nominando un REFERENTE
18
la Capogruppo emana “Linee guida per la nomina del
Compliance Officer nelle Società del Gruppo e
adeguamento della Funzione Compliance” rimettendo in
capo al Consiglio di Amministrazione di ciascuna Società
la responsabilità di effettuare la scelta del Modello
organizzativo da adottare
Tipicamente le Società bancarie del Gruppo, soggette alla
nomina della Funzione di Conformità, optano per il
Modello
organizzativo
accentrato
con
l’esternalizzazione della Funzione di Conformità di
capogruppo, in ragione di fattori quali
• dimensioni aziendali delle singole Società facenti parte
del Gruppo
• economie di scala realizzabili con l’accentramento della
Funzione
• complessiva operatività ed i profili professionali in
organico e contestualmente l’opportunità di ricorrere a
professionalità e competenze presenti in Capogruppo
• possibilità di avvalersi di una Funzione di Gruppo che
operi con univocità ed omogeneità nella formulazione
degli indirizzi per la gestione di tutte le componenti
della conformità
Le Società altre società del Gruppo nominano propri
Compliance Officer residenti, ottemperando nel contempo
alle linee guida di Gruppo
La gestione operativa del processo di compliance
Soluzione accentrata
• caratterizzato dall’esistenza di una
Funzione di Conformità interna alla
Società, che svolge senza altri supporti
tutte le attività previste nel processo di
gestione del rischio di non conformità, con
eccezione di quelle di competenza dei
vertici aziendali. Tale modello richiede
l’individuazione di una Funzione ad hoc in
grado di operare autonomamente
Punti di forza
• elevata sensibilità aziendale
• maggiore tempestività di azione
derivante dalla gestione diretta
Soluzione mista
Punti di forza
• caratterizzato dall’esistenza di una
Funzione di Conformità interna alla
Società, che svolge direttamente alcune
attività (in relazione ad organico,
competenze, dimensioni e complessità
aziendale) mentre per altre si avvale del
supporto di altre Funzioni aziendali (es:
Legale), che coordina direttamente al fine
di assicurare unitarietà e coerenza
complessiva d’approccio
• creazione di sinergie derivanti
dall’utilizzo di professionalità
diversificate presenti nei diversi
settori aziendali
• coerenza con il c.d. principio di
proporzionalità, in relazione alle
dimensioni e al tipo di attività della
Società
• limitazione delle duplicazioni e
sovrapposizioni di competenze
Soluzione esternalizzata
Punti di forza
• caratterizzato dall’esternalizzazione della
Funzione a soggetti terzi purché dotati dei
requisiti di professionalità e indipendenza.
Il Responsabile interno svolge un ruolo di
collegamento con l’outsourcer,
assicurando il rispetto delle disposizioni di
vigilanza in materia
• economie di scala derivanti da
approcci standardizzati
• implementazione di soluzioni già
verificate per le quali si potrà
beneficiare delle esperienze altrui
19
Punti di debolezza
• difficoltà di inserimento e sviluppo di
una pluralità di competenze in una sola
Funzione
• aggravamento del costo del SCI
• minore sfruttamento di eventuali
economie di scala
Punti di debolezza
• difficoltà di riportare all’unitarietà le
azioni/attività svolte da più funzioni
aziendali e/o esterne
Punti di debolezza
• ridotta personalizzazione
• riferimento esclusivo all’outsourcer
• basso committment della Società e
ridotta incidenza di azione
Le responsabilità della Funzione
La Funzione Compliance presiede, secondo un approccio risk based, alla gestione del rischio di non
conformità con riguardo a tutte le disposizioni normative applicabili alle banche, verificando che le
procedure interne siano adeguate a prevenire il rischio. Il ruolo della funzione può essere graduato in
relazione sia al rilievo delle singole norme sia all’esistenza di presidi specifici sulla normativa
specifica (ad. es. normativa Fiscale)
• I principali adempimenti che la Funzione è chiamata a svolgere sono:
a) ausilio alle strutture aziendali per definizione di metodologie di valutazione dei rischi di compliance
b) Individuazione di idonee procedure per la prevenzione del rischio e verifica della loro adeguatezza e
applicazione
c) identificazione nel continuo delle norme applicabili, misurazione/valutazione del loro impatto
Principali
responsabilità
d) proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi
identificati
e) predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte
f) verifica dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di compliance
g) coinvolgimento nella valutazione ex-ante della conformità alla regolamentazione applicabile di tutti i
progetti innovativi, nonché nella prevenzione e gestione dei conflitti di interesse sia tra le attività svolte
dalla banca sia con riferimento a dipendenti ed esponenti aziendali
h) consulenza nei confronti degli organi aziendali in tutte le materie in cui assume rilievo il rischio di
compliance e collaborazione attiva nella formazione del personale
20
I «mestieri» della funzione
Le attività della Funzione di Compliance possono essere suddivise in quattro macro tipologie:
1.1 Legal
Inventory
1. Consulenza
1.2 progettuale
Consulenza volta a individuare nel continuo le variazioni del quadro normativo di riferimento (legal
inventory) e la conseguente misurazione/valutazione del loro impatto su processi e procedure
aziendali
Consulenza nella gestione del cambiamento, volta alla definizione di linee guida applicative e alla
verifica dell’adeguatezza delle misure organizzative sviluppate dall’azienda a fronte delle
modificazioni intervenute in termini di nuove normative e/o di nuovi prodotti/servizi/processi, prima
dell’adozione delle stesse da parte delle strutture organizzative
1.3 spot
Consulenza volta a fornire pareri in merito a quesiti di natura normativa connessi all’operatività
2.1 sui processi
Verifiche di esistenza/adeguatezza dei presidi organizzativi già adottati a presidio dei rischi di non
conformità
2.2 sui
comportamenti
Verifiche sui comportamenti osservati finalizzate a monitorare l’efficacia degli adeguamenti
organizzativi suggeriti per la prevenzione del rischio di non conformità
2. Controlli
3. Formazione
4. Altre attività
21
3.1 individuazione Valutazione in merito alla completezza dei piani formativi rispetto alle necessità formative delle
risorse
fabbisogni
3.2 progettazione
Collaborazione con la Funzione Risorse Umane per la predisposizione dei contenuti della
formazione, valutando la completezza degli argomenti trattati
4.1 conflitti
d’interesse
Consulenza in materia di prevenzione e gestione dei conflitti di interesse sia tra le diverse attività
svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali
4.2 sistema
premiante
Verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazione
del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali codici etici o
altri standard di condotta applicabili alla banca
4.3 relazioni
Consob
Predisposizione delle relazioni alla Consob obbligatorie ai sensi della normativa sui servizi di
investimento
Evoiluzione del perimetro di compliance
• La Funzione di Compliance è direttamente responsabile della gestione del rischio di non conformità con
riferimento a norme più rilevanti che disciplinano attività bancaria e di intermediazione (es. Trasparenza, Usura,
MiFID, etc.)
• Le nuove disposizioni di vigilanza evidenziano la possibilità di graduare i compiti della Funzione di Compliance,
per le normative per le quali siano già previste forme specifiche di presidio specializzato (es. normativa sulla
sicurezza sul lavoro, in materia di trattamento dei dati personali, normativa fiscale, ecc.). La funzione
Compliance rimane almeno responsabile della definizione delle metodologie di valutazione del rischio e della
definizione delle relative procedure
• Possono essere individuati presidi aziendali specialistici, con il compito, per le normative fuori perimetro core
della Funzione, di assicurare, nel continuo, la conformità dei comportamenti alla normativa di riferimento e di
fornire alla Funzione Compliance giudizi/ dati quantitativi/ esiti sull’attività svolta
CONTABILITÀ E
BILANCIO
PRIVACY
NORME RESPONSABILITA’ DIRETTA COMPLIANCE
RESPONSABILITÀ
AMMINISTRATIVA
DEGLI ENTI
SEGNALAZIONI
DI VIGILANZA
•
•
•
•
•
•
•
•
•
SERVIZI DI INVESTIMENTO
CONFLITTI DI INTERESSE
MARKET ABUSE
TRASPARENZA
SISTEMI DI REMUNERAZIONE
OPERAZIONI CON PARTI CORRELATE
ANTIUSURA
ANTIRICICLAGGIO
...
GETIONE DEI
CONTENZIOSI
…
22
FISCALE
ICAAP
SICUREZZA SUI
LUOGHI DI
LAVORO
Esternalizzazione
Alla luce del principio di proporzionalità e, in presenza dei necessari vincoli dimensionali, la Funzione di
Compliance può essere esternalizzata a soggetti terzi dotati di requisiti idonei in termini di
professionalità e indipendenza. In tal caso l’accordo di esternalizzazione deve definire:
gli obiettivi, la metodologia e la frequenza dei controlli;
le modalità e la frequenza della reportistica dovuta al referente per l’attività esternalizzata e agli
organi aziendali sulle verifiche effettuate. gli obblighi di riservatezza delle informazioni acquisite
nell’esercizio della funzione;
i collegamenti con le attività svolte dall’organo con funzione di controllo;
la possibilità di richiedere specifiche attività di controllo al verificarsi di esigenze improvvise;
la proprietà esclusiva della banca dei risultati dei controlli.
In caso di esternalizzazione la banca nomina uno specifico referente interno cui si applicano le
medesime disposizioni in materia di linee di riporto e dipendenza gerarchica/funzionale previste per il
Responsabile della Funzione di Compliance. Il fornitore di servizi presso cui si intendono esternalizzare
le funzioni aziendali di controllo rispetta le seguenti condizioni:
è indipendente rispetto alla banca presso la quale assume l’incarico e non cumula incarichi
relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo
bancario;
non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi a
funzioni aziendali di controllo e attività che sarebbe chiamato a controllare in qualità di fornitore di
servizi;
non svolge la funzione di revisione legale dei conti per la banca o per altre società del gruppo.
23
Metodologie e strumenti
Approccio metodologico
La “metodologia di valutazione” è basata sull’utilizzo di un approccio per rischi e per tipologia di
normativa ed è finalizzata alla determinazione della rischiosità residuale alla quale è esposta la
Società, con la conseguente identificazione delle possibili perdite potenziali
Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla
corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate:
Identificazione dei rischi di non conformità e la valutazione della corrispondente rischiosità
potenziale, condotta sulla base di considerazioni qualitative con riferimento agli effetti avversi che
dal manifestarsi del rischio possono scaturire e determinata sulla base dei seguenti parametri:
“impatto/ significatività”
“frequenza/ probabilità”
Analisi e valutazione dei presidi sui rischi di non conformità, attraverso l’esecuzione delle verifiche
di compliance e la successiva valutazione dei presidi che scaturisce dal mero giudizio
professionale dei valutatori
Determinazione della rischiosità residuale (scoring) mediante l’algoritmo di valutazione dato dalla
combinazione dei giudizi precedenti ovvero:
Scoring = Indice di rischiosità potenziale – Valutazione dei presidi
24
Impatto/ significatività
Il Rischio Potenziale rappresenta la valutazione sintetica del singolo evento rischioso il cui
manifestarsi, alla violazione della norma, potrebbe provocare un danno diretto o indiretto di natura
economico-finanziaria, patrimoniale, sanzionatoria o d’immagine verso l’esterno; è rilevato nell’ambito
delle attività della Società e risulta indipendente dai presidi implementati, che potranno,
eventualmente, solo mitigarne o prevenirne gli effetti
25
Rischio Potenziale = ƒ (impatto; frequenza)
Rischio Potenziale
Frequenza/ Probabilità
Intensità del danno potenzialmente derivante dalla
manifestazione del rischio
3 livelli di frequenza
4 livelli di impatto
26
Stima del numero di volte o della possibilità che il
rischio possa manifestarsi
Impatto / significatività
Frequenza/
Probabilità
MOLTO SIGNIFICATIVO
MOLTO SIGNIFICATIVO
SIGNIFICATIVO
SOSTENUTA
MODERATA
SOSTENUTA
MOLTO ALTO
MOLTO SIGNIFICATIVO
SIGNIFICATIVO
SIGNIFICATIVO
LIMITATA
MODERATA
LIMITATA
ALTO
MISURATO
MISURATO
CONTENUTO
SOSTENUTA
MODERATA
SOSTENUTA
MEDIO
MISURATO
CONTENUTO
CONTENUTO
LIMITATA
MODERATA
LIMITATA
BASSO
Indice di rischiosità potenziale
I risultati conseguiti con le verifiche permettono di pervenire alla valutazione dei presidi sui rischi di
non conformità
Compliance Programm
Prevalentement
e Conforme
Prevalentement
e Non Conforme
Non Conforme
27
Valutazione dei presidi
Conforme
L’indice di rischio residuo rappresenta la valutazione sintetica del singolo evento rischioso (il cui
manifestarsi potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria,
patrimoniale, sanzionatoria o d’immagine verso l’esterno), data la struttura e l’adeguatezza dei presidi
esistenti e l’aderenza dei comportamenti alle disposizioni normative. L’indice di rischio residuo,
rappresenta dunque una valutazione qualitativa del rischio a cui l’azienda rimane esposta a valle dei
presidi predisposti
Legenda:
Valutazione del
presidio
Rischio Potenziale
Rischio Residuo
28
Lo scoring è articolato in classi numeriche, espresse in ordine crescente di negatività, sulla base
dell’opportunità di intraprendere iniziative atte a ridurre il rischio residuo e pertanto circoscrivere le
possibili perdite potenziali. In termini concettuali, ciascun scoring rappresenta un giudizio sintetico sul
rispetto della conformità alle norme
Valutazione dei presidi
Indice rischiosità
potenziale
29
Non Conforme
Prevalentemente Prevalentemente
Non Conforme
Conforme
Conforme
MOLTO ALTO
5
4
2
1
ALTO
4
3
2
1
MEDIO
4
3
2
1
BASSO
3
2
1
1
Pianificazione e reporting
Il Piano annuale di
compliance individua le
attività da svolgere nel
corso dell’esercizio da
parte della Funzione di
Conformità, inerenti
l’analisi e la valutazione dei
rischi di non conformità, gli
interventi formativi, le
attività in ambito di Gruppo.
Piano di
compliance
Report Ordinario
Report Consuntivo
Il Report Consuntivo contiene il riepilogo delle attività svolte
nel corso dell’esercizio, le conclusioni raggiunte riguardo al
presidio dei rischi di non conformità, il piano degli interventi
proposti
30
Il Report Ordinario è
redatto a seguito di ciascun
intervento di compliance, al
fine di rendicontare
tempestivamente su aspetti
significativi per i quali è
opportuno intervenire
senza indugio.

Le funzione di conformità alle norme nell`ambito del Sistema dei

Transcript

Documenti analoghi

Stampa X0089R09 DS MiniCLIP.svg

dichiarazione di conformita` ce ec declaration of

Laura Piatti

Opentech - Solution Cart

S9 Escape - Sapio Life

Brochure Utility 2016

La "compliance" e il rischio bene

Legal Inventory

Il Regolamento dà attuazione degli articoli 87 e 191, comma