Le funzione di conformità alle norme nell`ambito del Sistema dei
Transcript
Le funzione di conformità alle norme nell`ambito del Sistema dei
Le funzione di conformità alle norme nell’ambito del Sistema dei Controlli Interni delle Banche a cura di Francesco Manganaro 11 Gennaio 2014 1 Obiettivo del seminario • Il Sistema dei Controlli Interni, la gestione dei rischi, i principi di corporate governance, etc. per gli intermediari creditizi sono stati impattati nel tempo da una proliferazione di norme che ha richiesto un continuo e progressivo adeguamento da parte delle banche e dei gruppi bancari al fine di garantire una sana e prudente gestione, nonché la stabilità del sistema finanziario • Da ultimo il 2 luglio 2013 Banca d’Italia ha emanato le nuove Disposizioni di Vigilanza prudenziale per le Banche, in materia di «Sistema dei controlli Interni, Sistema informativo e Continuità operativa» (15° aggiornamento della Circ. 263/2006) che, oltre a prevedere significative novità, costituiscono un compendio organico rispetto alla frammentazione normativa preesistente. La nuova disciplina intende infatti razionalizzare il quadro normativo preesistente alla luce dei provvedimenti emanati in materia negli ultimi anni • In tale contesto, il presente seminario si propone l’obiettivo di: Rappresentare sinteticamente il contesto evolutivo della normativa in materia di SCI 1 2 3 2 Illustrare le caratteristiche essenziali di Sistema dei Controlli Interni Analizzare le caratteristiche della Funzione di Compliance Le Nuove Disposizioni di Vigilanza Quadro normativo di riferimento Evoluzione del contesto esterno • • • 4 Con la circolare di Banca d’Italia sul sistema dei controlli interni del 1999, è stato avviato un percorso evolutivo che si è articolato mediante la progressiva introduzione da parte delle Autorità di Vigilanza di principi e presidi volti a rendere sempre più efficace e solido il complessivo Sistema dei Controlli Interni GLI STEP PRINCIPALI DEL PERCORSO EVOLUTIVO 1999 Istruzioni di Vigilanza - Sistema dei controlli interni DIRETTIVE EUROPEE 2001 D.Lgs 231/2001 – 2005/60/CE Modello Organizzativo e OdV 2005 2006/70/CE L. 262/05 Riforma del risparmio - Dirigente Preposto Tale percorso ha condotto alla proliferazione di strutture organizzative di controllo, con responsabilità che possono risultare in alcuni casi in sovrapposizione fra loro ridondanti 2006 Circ. 263 Nuove disposizioni di vigilanza prudenziale per le banche Il quadro delineatosi ha richiesto – in un’ottica di consolidamento ed evoluzione del Sistema dei Controlli Interni – l’esigenza di un complessivo efficientamento delle strutture e dei presidi di controllo, con una visione unitaria delle esigenze e delle priorità dell’intermediario 2008 Governo societario 2007 La funzione di conformità 2010 Governance, compliance e controlli interni per il rischio riciclaggio 2013 Revisione disposizioni di vigilanza in materia di organizzazione e controlli interni Quadro normativo di riferimento Le nuove Disposizioni di Vigilanza • Le nuove disposizioni sono state inserite nel 15° aggiornamento della Circolare 263 del 2006 ed in particolare nel Titolo V il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» ed il Capitolo 9 «la continuità operativa» Obiettivi Rafforzamento della capacità delle banche di gestire i rischi Revisione organica dell’attuale quadro normativo Definizione di un quadro normativo omogeneo basato sul criterio della proporzionalità Allineamento alla direttiva comunitaria (CRD IV) 15° aggiornamento alle Nuove Disposizioni di Vigilanza prudenziale 5 Quadro di riferimento normativo Il coordinamento con le normative preesistenti alla nuova disciplina • Nell’ambito del percorso di adeguamento le norme abrogate, perché superate dalle nuove disposizioni, sono: Norme abrogate • 6 • Circolare 229 del 1999 «Istruzioni di vigilanza per le banche - Sistema dei controlli interni, compiti del collegio sindacale» • La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle “Nuove disposizioni di vigilanza prudenziale per le banche”, Circolare n. 263 • Disposizioni di vigilanza - la funzione di controllo di conformità alle norme delle banche (Comunicazione del 10 luglio 2007); • Disposizioni di vigilanza – Esternalizzazione del trattamento del contante (Comunicazione del 7 maggio 2007); • Disposizioni di vigilanza – Continuità operativa in casi di emergenza (Comunicazione del luglio 2004); • Disposizioni di vigilanza – Requisiti particolari per la continuità operativa dei processi di rilevanza sistemica (Comunicazione del marzo 2007) • Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito, limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari Le nuove Disposizioni non abrogano invece il Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria ai fini di riciclaggio e di finanziamento del terrorismo ai sensi del D. Lgs. 231/2007 del 10 marzo 2011 nonché la normativa congiuntamente emanata da Consob in materia di prestazione dei servizi di investimento Le Nuove Disposizioni I principali impatti 1. GOVERNANCE 4. INTERNAL AUDIT • Collocazione organizzativa • Assetto organizzativo controlli IA • Rafforzamento compiti di controllo su metodologie di valutazione delle attività, risk management, su criticità identificate dalla società di revisione legale • Rafforzamento obblighi di reporting verso Banca d’Italia • Pianificazione in funzioni dei rischi • • • • • Codice etico Risk Appetite Framework Operazioni di maggiorie rilievo Nomina e revoca funzioni di controllo Assegnazione al Collegio Sindacale dell’OdV 231/01 • Documento SCI • Product approval • Verifica annuale compliance SCI 6. RISK MANAGEMENT • Collocazione organizzativa • Rafforzamento dei poteri del Risk Management • Definizione politiche di governo dei rischi e relativi processi • Sviluppo indicatori di controllo • Analisi nuovi prodotti/servizi/nuovi mercati • Rafforzamento obblighi di reporting verso Bankit 2. PERSONALE 5. COMPLIANCE • Ampliamento del perimetro normativo della funzione • Ausilio alle strutture aziendali nella definizione delle metodologie di valutazione dei rischi di compliance • Presidi aziendali specialistici • Rafforzamento obblighi reporting a Banca d’Italia 7 • Definizione percorsi formativi • Procedure di valutazione quali quantitativa del personale delle funzioni di controllo • Consulenze per le funzioni di controllo 3. ORGANIZZAZIONE • Approccio integrato alla gestione dei rischi • Definizione dei controlli di linea • Disciplina organica in materia di esternalizzazione di funzioni aziendali • Regole e procedure per la valutazione delle attività 7. ICT • Definizione/revisione organizzazione ICT • Introduzione di un modello di gestione integrata dei Rischi Informatici • Introduzione di un modello di gestione dei dati (Data Governance) • Definizione/Revisione criteri specifici per l’esternalizzazione di sistemi e servizi ICT ivi incluso l’outsourcing in modalità cloud computing • Obbligo di predisposizione dei Documenti aziendali per la gestione e il controllo ICT (Allegato A) • Implementazione di misure in materia di servizi telematici • Obbligo di reporting verso Banca d’Italia dei controlli svolti da parte dell’internal Auditing nei confronti dell’outsourcer • Rafforzamento requisiti in tema di Continuità Operativa • Obbligo in termini di segregazione dei compiti • Obbligo di tracciatura delle transazioni (critiche) Le Nuove Disposizioni Le tempistiche per l’adeguamento • Banca d’Italia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini di adeguamento • Sono previste scadenze differenziate a seconda dell’intervento oggetto di adeguamento • Le banche sono chiamate ad adeguarsi alle nuove disposizioni, tenendo in considerazione il principio di proporzionalità 2013 2014 2016 2015 Termini per l’adeguamento 2 luglio 2013 Emanazione Disposizioni di vigilanza 31 gennaio 2014 Termine autovalutazione e inoltro a Bankit della relativa relazione e contratti di esternalizzazione 8 1 luglio 2014 Termine generale per l’adeguamento alle disposizioni di cui al Capitolo 7 (SCI) e al Capitolo 9 (Continuità Operativa) 1 Febbraio 2015 Termine generale per l’adeguamento alle disposizioni di cui al Capitolo 8 (Sistema Informativo) 1 luglio 2015 Termine per l’adeguamento del collocamento organizzativo delle funzioni di controllo di secondo livello (linee di riporto) 1 luglio 2016 Termine per l’adeguamento dei contratti di esternalizzazione ai requisiti previsti dalle disposizioni Le Nuove Disposizioni La relazione di autovalutazione • Nell’immediato Banca d’Italia ha richiesto alle banche di predisporre una relazione contenente un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa • La relazione di autovalutazione da inviare entro il 31 gennaio 2014 dovrà contenere: • i risultati della diagnosi della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) • le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle nuove disposizioni 9 Il Sistema dei Controlli Interni Il Sistema dei controlli interni Definizioni • Per garantire una sana e prudente gestione, le banche devono coniugare nel tempo la profittabilità dell'impresa con un'assunzione dei rischi consapevole e compatibile con le condizioni economico-patrimoniali, nonché con una condotta operativa improntata a criteri di correttezza • A tal fine è indispensabile che le banche si dotino di adeguati sistemi di rilevazione, misurazione e controllo dei rischi, coerentemente con le proprie dimensioni e la complessità della propria operatività • Il Sistema dei Controlli Interni (SCI) è costituito dall'insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare il rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità Verifica attuazione delle strategie e delle politiche aziendali 11 Contenimento del rischio entro i limiti indicati nel Risk Appetite Framework Salvaguardia del valore delle attività e protezione delle perdite Efficacia ed efficienza dei processi aziendali Affidabilità e Prevenzione sicurezza del salvaguardia del rischio che valoredelle delle attività la banca sia einformazioni protezione dalle coinvolta in aziendali e perdite attività illecite delle (antiriciclaggio procedure , usura, etc.) informatiche Conformità operazioni con la legge e la normativa di Vigilanza, con le politiche, regolamenti e procedure interne Il Sistema dei controlli interni La piramide • Vengono distinte tre diverse tipologie di controllo, a prescindere dalle strutture organizzative in cui sono collocate: • • • 12 i controlli di linea, diretti ad assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture operative (ad es: controlli di tipo gerarchico, sistematici e a campione), anche attraverso unità dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell’ambito del back office; per quanto possibile, sono incorporati nelle procedure informatiche i controlli sui rischi e sulla conformità, hanno l'obiettivo di assicurare la corretta attuazione del processo di gestione dei rischi, il rispetto dei limiti operativi assegnati alle varie funzioni, la conformità dell’operatività aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive e concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi l’attività di revisione interna, volta a individuare violazioni delle procedure e della regolamentazione nonché a valutare periodicamente la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia) e l’affidabilità del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all’intensità dei rischi 3° livello Internal Audit 2° livello Risk Management, Compliance, Antiriciclaggio DP ex Lege 262/05 1° livello Controlli di linea Il Sistema dei controlli interni Collocazione organizzativa delle funzioni di controllo CDA Collegio Sindacale Internal Auditing Controlli di revisione interna Alta Direzione Compliance Risk Management Controlli sulla gestione dei rischi Controlli sulla gestione dei rischi Antiriciclaggio Controlli sulla gestione dei rischi 13 Aree operative Aree operative Aree operative Controlli di linea Controlli di linea Controlli di linea Il Sistema dei controlli interni Principali caratteristiche delle funzioni di controllo • Le Banche istituiscono funzioni aziendali di controllo (funzioni di gestione dei rischi e funzione di revisione interna) permanenti e indipendenti • Competenza e Autorità • Risorse economiche adeguate, eventualmente attivabili in autonomia • Accesso ai dati aziendali e a quelli esterni • Tra loro separate (le funzioni di controllo di secondo livello sono separate dalla funzione IA) Requisiti delle • Funzioni di controllo di secondo funzioni di livello affidate ad unica struttura controllo • Possono essere affidate ad un outsourcer esterno • Collaborano tra loro e con Coordinamento le altre funzioni con lo scopo delle funzioni di di sviluppare metodologie di controllo controllo coerenti con le strategie e l’operatività aziendale • Compiti e responsabilità delle funzioni comunicati all’intera organizzazione aziendale • Articolazione dei flussi informativi tra le funzioni aziendali di controllo (flussi informativi tra le funzioni esternalizzate e tra queste ed i referenti interni alle banche 14 • Possiedono requisiti di professionalità adeguati • Sono collocati in posizione gerarchicofunzionale adeguata • Non hanno responsabilità diretta di aree operative sottoposte a controllo • Sono nominati e revocati dal CdA sentito il Collegio Sindacale Responsabili • • Riferiscono direttamente agli delle funzioni di organi aziendali controllo Gestione del personale • Politiche di gestione delle risorse umane volte ad assicurare che il personale sia provvisto di adeguate competenze • Linee guida per l’aggiornamento delle risorse e per la definizione dei programmi di formazione continua • Il personale che partecipa alle funzioni di controllo non deve essere coinvolto in attività che tali funzioni sono chiamate a controllare Il Sistema dei controlli interni Programmazione e rendicontazione delle funzioni di controllo • Per ciascuna funzione aziendale di controllo la regolamentazione interna indica responsabilità, compiti, modalità operative, flussi informativi, programmazione dell’attività di controllo, in particolare: Funzione di controllo di 2° livello • Funzione di Conformità alle norme (Compliance) • Funzione di controllo dei rischi (Risk Management) • Funzione Antiriciclaggio Funzione di controllo di 3° livello • Funzione di revisione interna (Internal Audit) Flussi informativi vs organi aziendali • presentano annualmente agli organi aziendali, • la funzione di revisione interna presenta annualmente agli organi aziendali un piano di ciascuna in base alle rispettive competenze, un audit, che indica le attività di controllo pianificate, programma di attività, in cui sono identificati e tenuto conto dei rischi delle varie attività e valutati i principali rischi a cui la banca è esposta strutture aziendali; il piano contiene una specifica e sono programmati i relativi interventi di sezione relativa all’attività di revisione del sistema gestione. La programmazione degli interventi informativo (ICT auditing) tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati • Le Funzioni aziendali di controllo, annualmente: • presentano agli organi aziendali una relazione dell’attività svolta, che illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottare per la loro rimozione • riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni • in ogni caso, informano tempestivamente gli organi aziendali su ogni violazione o carenza rilevante riscontrate 15 La funzione di conformità alle norme Organizzazione della Funzione Compliance Il rischio di non conformità alle norme Il rischio di non conformità alle norme, diffuso a tutti i livelli dell’organizzazione aziendale, è il rischio di incorrere in taluni effetti avversi, in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es: codici di condotta, codici di autodisciplina) Sanzioni giudiziarie o amministrative Effetti Avversi Perdite finanziarie rilevanti Danni di reputazione La Funzione di Compliance presiede alla gestione del rischio di non conformità alle norme, verificando che le procedure interne siano adeguate a prevenire tale rischio. Organizzazione della Funzione Compliance La Compliance nei gruppi bancari Modello Accentrato Le responsabilità sono accentrate presso la Funzione di Compliance di Capogruppo Presso le Controllate è individuato un REFERENTE che svolge funzioni di collegamento con il Responsabile della Funzione di Compliance Modello Decentrato Le responsabilità relative alle decisioni strategiche a livello di Gruppo in materia di compliance sono rimesse agli organi aziendali della Capogruppo Presso ciascuna Controllata viene istituita la Funzione di Compliance e nominato un RESPONSABILE che, sulla base delle linee d’indirizzo della Capogruppo, è responsabile del presidio del rischio di non conformità in ambito aziendale Misto Le responsabilità relative alle decisioni strategiche a livello di Gruppo in materia di compliance sono rimesse agli organi aziendali della Capogruppo Presso alcune Controllate viene istituita la Funzione di Compliance e nominato un RESPONSABILE; talune altre esternalizzano la Funzione di Conformità ala Capogruppo nominando un REFERENTE 18 la Capogruppo emana “Linee guida per la nomina del Compliance Officer nelle Società del Gruppo e adeguamento della Funzione Compliance” rimettendo in capo al Consiglio di Amministrazione di ciascuna Società la responsabilità di effettuare la scelta del Modello organizzativo da adottare Tipicamente le Società bancarie del Gruppo, soggette alla nomina della Funzione di Conformità, optano per il Modello organizzativo accentrato con l’esternalizzazione della Funzione di Conformità di capogruppo, in ragione di fattori quali • dimensioni aziendali delle singole Società facenti parte del Gruppo • economie di scala realizzabili con l’accentramento della Funzione • complessiva operatività ed i profili professionali in organico e contestualmente l’opportunità di ricorrere a professionalità e competenze presenti in Capogruppo • possibilità di avvalersi di una Funzione di Gruppo che operi con univocità ed omogeneità nella formulazione degli indirizzi per la gestione di tutte le componenti della conformità Le Società altre società del Gruppo nominano propri Compliance Officer residenti, ottemperando nel contempo alle linee guida di Gruppo Organizzazione della Funzione Compliance La gestione operativa del processo di compliance Soluzione accentrata • caratterizzato dall’esistenza di una Funzione di Conformità interna alla Società, che svolge senza altri supporti tutte le attività previste nel processo di gestione del rischio di non conformità, con eccezione di quelle di competenza dei vertici aziendali. Tale modello richiede l’individuazione di una Funzione ad hoc in grado di operare autonomamente Punti di forza • elevata sensibilità aziendale • maggiore tempestività di azione derivante dalla gestione diretta Soluzione mista Punti di forza • caratterizzato dall’esistenza di una Funzione di Conformità interna alla Società, che svolge direttamente alcune attività (in relazione ad organico, competenze, dimensioni e complessità aziendale) mentre per altre si avvale del supporto di altre Funzioni aziendali (es: Legale), che coordina direttamente al fine di assicurare unitarietà e coerenza complessiva d’approccio • creazione di sinergie derivanti dall’utilizzo di professionalità diversificate presenti nei diversi settori aziendali • coerenza con il c.d. principio di proporzionalità, in relazione alle dimensioni e al tipo di attività della Società • limitazione delle duplicazioni e sovrapposizioni di competenze Soluzione esternalizzata Punti di forza • caratterizzato dall’esternalizzazione della Funzione a soggetti terzi purché dotati dei requisiti di professionalità e indipendenza. Il Responsabile interno svolge un ruolo di collegamento con l’outsourcer, assicurando il rispetto delle disposizioni di vigilanza in materia • economie di scala derivanti da approcci standardizzati • implementazione di soluzioni già verificate per le quali si potrà beneficiare delle esperienze altrui 19 Punti di debolezza • difficoltà di inserimento e sviluppo di una pluralità di competenze in una sola Funzione • aggravamento del costo del SCI • minore sfruttamento di eventuali economie di scala Punti di debolezza • difficoltà di riportare all’unitarietà le azioni/attività svolte da più funzioni aziendali e/o esterne Punti di debolezza • ridotta personalizzazione • riferimento esclusivo all’outsourcer • basso committment della Società e ridotta incidenza di azione Organizzazione della Funzione Compliance Le responsabilità della Funzione La Funzione Compliance presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutte le disposizioni normative applicabili alle banche, verificando che le procedure interne siano adeguate a prevenire il rischio. Il ruolo della funzione può essere graduato in relazione sia al rilievo delle singole norme sia all’esistenza di presidi specifici sulla normativa specifica (ad. es. normativa Fiscale) • I principali adempimenti che la Funzione è chiamata a svolgere sono: a) ausilio alle strutture aziendali per definizione di metodologie di valutazione dei rischi di compliance b) Individuazione di idonee procedure per la prevenzione del rischio e verifica della loro adeguatezza e applicazione c) identificazione nel continuo delle norme applicabili, misurazione/valutazione del loro impatto Principali responsabilità d) proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi identificati e) predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte f) verifica dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di compliance g) coinvolgimento nella valutazione ex-ante della conformità alla regolamentazione applicabile di tutti i progetti innovativi, nonché nella prevenzione e gestione dei conflitti di interesse sia tra le attività svolte dalla banca sia con riferimento a dipendenti ed esponenti aziendali h) consulenza nei confronti degli organi aziendali in tutte le materie in cui assume rilievo il rischio di compliance e collaborazione attiva nella formazione del personale 20 Organizzazione della Funzione Compliance I «mestieri» della funzione Le attività della Funzione di Compliance possono essere suddivise in quattro macro tipologie: 1.1 Legal Inventory 1. Consulenza 1.2 progettuale Consulenza volta a individuare nel continuo le variazioni del quadro normativo di riferimento (legal inventory) e la conseguente misurazione/valutazione del loro impatto su processi e procedure aziendali Consulenza nella gestione del cambiamento, volta alla definizione di linee guida applicative e alla verifica dell’adeguatezza delle misure organizzative sviluppate dall’azienda a fronte delle modificazioni intervenute in termini di nuove normative e/o di nuovi prodotti/servizi/processi, prima dell’adozione delle stesse da parte delle strutture organizzative 1.3 spot Consulenza volta a fornire pareri in merito a quesiti di natura normativa connessi all’operatività 2.1 sui processi Verifiche di esistenza/adeguatezza dei presidi organizzativi già adottati a presidio dei rischi di non conformità 2.2 sui comportamenti Verifiche sui comportamenti osservati finalizzate a monitorare l’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di non conformità 2. Controlli 3. Formazione 4. Altre attività 21 3.1 individuazione Valutazione in merito alla completezza dei piani formativi rispetto alle necessità formative delle risorse fabbisogni 3.2 progettazione Collaborazione con la Funzione Risorse Umane per la predisposizione dei contenuti della formazione, valutando la completezza degli argomenti trattati 4.1 conflitti d’interesse Consulenza in materia di prevenzione e gestione dei conflitti di interesse sia tra le diverse attività svolte dalla banca sia con riferimento ai dipendenti e agli esponenti aziendali 4.2 sistema premiante Verifica della coerenza del sistema premiante aziendale (in particolare retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme, dello statuto nonché di eventuali codici etici o altri standard di condotta applicabili alla banca 4.3 relazioni Consob Predisposizione delle relazioni alla Consob obbligatorie ai sensi della normativa sui servizi di investimento Organizzazione della Funzione Compliance Evoiluzione del perimetro di compliance • La Funzione di Compliance è direttamente responsabile della gestione del rischio di non conformità con riferimento a norme più rilevanti che disciplinano attività bancaria e di intermediazione (es. Trasparenza, Usura, MiFID, etc.) • Le nuove disposizioni di vigilanza evidenziano la possibilità di graduare i compiti della Funzione di Compliance, per le normative per le quali siano già previste forme specifiche di presidio specializzato (es. normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali, normativa fiscale, ecc.). La funzione Compliance rimane almeno responsabile della definizione delle metodologie di valutazione del rischio e della definizione delle relative procedure • Possono essere individuati presidi aziendali specialistici, con il compito, per le normative fuori perimetro core della Funzione, di assicurare, nel continuo, la conformità dei comportamenti alla normativa di riferimento e di fornire alla Funzione Compliance giudizi/ dati quantitativi/ esiti sull’attività svolta CONTABILITÀ E BILANCIO PRIVACY NORME RESPONSABILITA’ DIRETTA COMPLIANCE RESPONSABILITÀ AMMINISTRATIVA DEGLI ENTI SEGNALAZIONI DI VIGILANZA • • • • • • • • • SERVIZI DI INVESTIMENTO CONFLITTI DI INTERESSE MARKET ABUSE TRASPARENZA SISTEMI DI REMUNERAZIONE OPERAZIONI CON PARTI CORRELATE ANTIUSURA ANTIRICICLAGGIO ... GETIONE DEI CONTENZIOSI … 22 FISCALE ICAAP SICUREZZA SUI LUOGHI DI LAVORO Organizzazione della Funzione Compliance Esternalizzazione Alla luce del principio di proporzionalità e, in presenza dei necessari vincoli dimensionali, la Funzione di Compliance può essere esternalizzata a soggetti terzi dotati di requisiti idonei in termini di professionalità e indipendenza. In tal caso l’accordo di esternalizzazione deve definire: gli obiettivi, la metodologia e la frequenza dei controlli; le modalità e la frequenza della reportistica dovuta al referente per l’attività esternalizzata e agli organi aziendali sulle verifiche effettuate. gli obblighi di riservatezza delle informazioni acquisite nell’esercizio della funzione; i collegamenti con le attività svolte dall’organo con funzione di controllo; la possibilità di richiedere specifiche attività di controllo al verificarsi di esigenze improvvise; la proprietà esclusiva della banca dei risultati dei controlli. In caso di esternalizzazione la banca nomina uno specifico referente interno cui si applicano le medesime disposizioni in materia di linee di riporto e dipendenza gerarchica/funzionale previste per il Responsabile della Funzione di Compliance. Il fornitore di servizi presso cui si intendono esternalizzare le funzioni aziendali di controllo rispetta le seguenti condizioni: è indipendente rispetto alla banca presso la quale assume l’incarico e non cumula incarichi relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo bancario; non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi a funzioni aziendali di controllo e attività che sarebbe chiamato a controllare in qualità di fornitore di servizi; non svolge la funzione di revisione legale dei conti per la banca o per altre società del gruppo. 23 Metodologie e strumenti Approccio metodologico La “metodologia di valutazione” è basata sull’utilizzo di un approccio per rischi e per tipologia di normativa ed è finalizzata alla determinazione della rischiosità residuale alla quale è esposta la Società, con la conseguente identificazione delle possibili perdite potenziali Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate: Identificazione dei rischi di non conformità e la valutazione della corrispondente rischiosità potenziale, condotta sulla base di considerazioni qualitative con riferimento agli effetti avversi che dal manifestarsi del rischio possono scaturire e determinata sulla base dei seguenti parametri: “impatto/ significatività” “frequenza/ probabilità” Analisi e valutazione dei presidi sui rischi di non conformità, attraverso l’esecuzione delle verifiche di compliance e la successiva valutazione dei presidi che scaturisce dal mero giudizio professionale dei valutatori Determinazione della rischiosità residuale (scoring) mediante l’algoritmo di valutazione dato dalla combinazione dei giudizi precedenti ovvero: Scoring = Indice di rischiosità potenziale – Valutazione dei presidi 24 Metodologie e strumenti Approccio metodologico Impatto/ significatività Il Rischio Potenziale rappresenta la valutazione sintetica del singolo evento rischioso il cui manifestarsi, alla violazione della norma, potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria, patrimoniale, sanzionatoria o d’immagine verso l’esterno; è rilevato nell’ambito delle attività della Società e risulta indipendente dai presidi implementati, che potranno, eventualmente, solo mitigarne o prevenirne gli effetti 25 Rischio Potenziale = ƒ (impatto; frequenza) Rischio Potenziale Frequenza/ Probabilità Metodologie e strumenti Approccio metodologico Frequenza/ Probabilità Impatto/ significatività Intensità del danno potenzialmente derivante dalla manifestazione del rischio 3 livelli di frequenza 4 livelli di impatto 26 Stima del numero di volte o della possibilità che il rischio possa manifestarsi Impatto / significatività Frequenza/ Probabilità MOLTO SIGNIFICATIVO MOLTO SIGNIFICATIVO SIGNIFICATIVO SOSTENUTA MODERATA SOSTENUTA MOLTO ALTO MOLTO SIGNIFICATIVO SIGNIFICATIVO SIGNIFICATIVO LIMITATA MODERATA LIMITATA ALTO MISURATO MISURATO CONTENUTO SOSTENUTA MODERATA SOSTENUTA MEDIO MISURATO CONTENUTO CONTENUTO LIMITATA MODERATA LIMITATA BASSO Indice di rischiosità potenziale Metodologie e strumenti Approccio metodologico I risultati conseguiti con le verifiche permettono di pervenire alla valutazione dei presidi sui rischi di non conformità Compliance Programm Prevalentement e Conforme Prevalentement e Non Conforme Non Conforme 27 Valutazione dei presidi Conforme Metodologie e strumenti Approccio metodologico L’indice di rischio residuo rappresenta la valutazione sintetica del singolo evento rischioso (il cui manifestarsi potrebbe provocare un danno diretto o indiretto di natura economico-finanziaria, patrimoniale, sanzionatoria o d’immagine verso l’esterno), data la struttura e l’adeguatezza dei presidi esistenti e l’aderenza dei comportamenti alle disposizioni normative. L’indice di rischio residuo, rappresenta dunque una valutazione qualitativa del rischio a cui l’azienda rimane esposta a valle dei presidi predisposti Impatto/ significatività Legenda: Valutazione del presidio Rischio Potenziale Rischio Residuo 28 Frequenza/ Probabilità Metodologie e strumenti Approccio metodologico Lo scoring è articolato in classi numeriche, espresse in ordine crescente di negatività, sulla base dell’opportunità di intraprendere iniziative atte a ridurre il rischio residuo e pertanto circoscrivere le possibili perdite potenziali. In termini concettuali, ciascun scoring rappresenta un giudizio sintetico sul rispetto della conformità alle norme Valutazione dei presidi Indice rischiosità potenziale 29 Non Conforme Prevalentemente Prevalentemente Non Conforme Conforme Conforme MOLTO ALTO 5 4 2 1 ALTO 4 3 2 1 MEDIO 4 3 2 1 BASSO 3 2 1 1 Metodologie e strumenti Pianificazione e reporting Il Piano annuale di compliance individua le attività da svolgere nel corso dell’esercizio da parte della Funzione di Conformità, inerenti l’analisi e la valutazione dei rischi di non conformità, gli interventi formativi, le attività in ambito di Gruppo. Piano di compliance Report Ordinario Report Consuntivo Il Report Consuntivo contiene il riepilogo delle attività svolte nel corso dell’esercizio, le conclusioni raggiunte riguardo al presidio dei rischi di non conformità, il piano degli interventi proposti 30 Il Report Ordinario è redatto a seguito di ciascun intervento di compliance, al fine di rendicontare tempestivamente su aspetti significativi per i quali è opportuno intervenire senza indugio.