ICT4law WP6. Servizi e tecnologia per la compliance. Maggio 2010.
-
Upload
gianluigi-fiori -
Category
Documents
-
view
212 -
download
0
Transcript of ICT4law WP6. Servizi e tecnologia per la compliance. Maggio 2010.
ICT4law WP6.Servizi e tecnologia per la compliance .
Maggio 2010
• ICT4law Wp6• La compliance• Compiti della funzione di compliance• Esempio di come oggi lavora un ufficio di compliance• Aree di intervento di ICT4law wp6
Indice intervento
ICT4LAW – I Partner (1)
• Università di Torino:– Dipartimento di Scienze Giuridiche (Prof.
Gianmaria Ajani)– Dipartimento di Informatica (Prof. Guido
Boella)
• Università del Piemonte Orientale:– Dipartimento di Studi per l’Impresa ed il
Territorio (Dott. Piercarlo Rossi)– Dipartimento di Informatica
(Prof.ssa Laura Giordano)
ICT4LAW – I Partner (2)
• CNR:– CERIS CNR di Torino (Dr.
Giuseppe Calabrese)
• Imprese– Augeos, servizi e soluzioni IT per la
finanza – SSB Progetti, software house
ICT4LAW – I Partner (3)
• Altre istituzioni coinvolte (fuori Piemonte):– ISTC CNR Laboratorio di ontologia
applicata di Trento (LOA – Ing. Nicola Guarino)
– Istituto di Teoria e Tecniche dell’Informazione Giuridica (ITTIG CNR) di Firenze (Dott.sa Daniela Tiscornia)
gli organi di vigilanza hanno stabilito una serie di principi che obbligano a gestire il rischio di inosservanza a leggi o norme con apposite funzioni dedicate al presidio e al controllo della conformità. In particolare, si pone l’accento sulla nuova figura del Compliance Risk Manager.
Compliance
Con la collaborazione della funzione di conformità, almeno una volta all’anno,gli organi delegati, o nel modello dualistico il consiglio di gestione, e il direttore generale secondo le rispettive competenze hanno il compito di identificare e valutare i principali rischi di non conformità a cui la banca è esposta e programmare i relativi interventi di gestione.
Che cosa è il Rischio
• Una possibile definizione di Rischio è:
“l’eventualità di subire un danno connessa a circostanze più o meno prevedibili.” (Enciclopedia Treccani)
In questa prima definizione si incontrano dei concetti che ritroveremo in forma più rigorosa:
• Il rischio è in qualche modo connesso alla “probabilità” di un evento dannoso
• Il rischio è proporzionale alla “gravità” del possibile danno.
Rischio di conformità
Banca d’Italia definisce il rischio di conformità come:
Il rischio di non conformità può essere definito come il rischio di incorrere in sanzioni giudiziarie o amministrative,
perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di
legge o di regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). Il rischio di conformità è un caso particolare di rischio
operativo.
I compiti del Compliance manager
Alla funzione di compliance sono assegnati tipicamente compiti di:
Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto
Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard
Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi
Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi
Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi
Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
I compiti del Compliance manager
Alla funzione di compliance sono assegnati tipicamente compiti di:
Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto
Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard
Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi
Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi
Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi
Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
Una prima attività consiste nella gestione dell’inventario normativo: pertanto si possono evidenziare le seguenti funzionalità: •inserire in un database i testi delle norme in maniera strutturata per evidenziare adempimenti e sanzioni;•creare delle classificazioni personalizzate con relazioni esplicite o tag; •indicare le relazioni con altre norme; •ricercare una norma secondo qualche criterio ed in modo full text;
Esempi di esigenze tecniche informatiche del primo compito
Legal knowledge (modellazione della normativa): viene effettuata tramite un “legal document management system” messo a disposizione dalla Università di Torino (Boella)
I compiti del Compliance manager
Alla funzione di compliance sono assegnati tipicamente compiti di:
Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto
Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard
Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi
Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi
Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi
Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
• L’idea chiave per questa parte della ricerca consiste nel cercare di dare degli strumenti di supporto al Compliance Manager per la fase di individuazione dei rischi normativi utilizzando la semantica e le ontologie.
• Per far questo occorre analizzare meglio il processo e la metodologia con cui vengono evidenziati i rischi normativi
Individuazione dei rischi di compliance
Processo della compliance
Esempio di Report di assessment
Esempio di alcune fasi del processo
Esempio di parere compliance
Come avviene oggi l’individuazione dei rischi
Processo 1 Processo 2 ... Processo N
Comma 1 x
Comma 2 x
.... x
Comma N x
Matrice impatto norma processo
Esempio di mappature rischi - processi
Vicinanza ontologica-semantica
• L’attività di ricerca si concentra su trovare una vicinanza ontologica-semantica tra l’articolo di una legge e una descrizione di una attività di un ufficio con diversi livelli di profondità– 1 livello: vicinanza semantica (uso di tecniche di vicinanza
tra parole chiave e concetti espressi nella legge e in una descrizione di un processo)
– 2 livello: tecniche per individuazione di vicinanza tra entità ontologicamente rilevanti di una legge (ruoli, diritti, doveri, vincoli, validità etc...) e quelle rilevanti di processo( responsabili, azioni da fare, vincoli etc...)
– 3 livello: model checking: test della descrizione dei processi sulla base di un set di leggi
LEGAL KNOWLEDGE MANAGEMENT SYSTEM
LEGAL DOCUMENT
MANAGEMENT SYSTEM
BUSINESS PROCESSMANAGEMENT SYSTEM
BUSINESS PROCESSEDITOR
TOOLS FOR INTEGRATINGKB TO BPM
SIMULATION
TERM SEARCH
ONTOLOGY MAPPING
MODEL CHECKING
Schema riassuntivo
LEGAL KNOWLEDGE MANAGEMENT SYSTEM
LEGAL DOCUMENTMANAGEMENT SYSTEM
XMLLEGGI
ART. RILEVANTI
TERMINISYLLABUS
ONTOLOGIARUOLI
OBBLIGHIPERMESSI
BUSINESS PROCESS KNOWLEDGE SYSTEM
BPMSYSTEM
Descrizione processi in
XML
Attività. rilevanti
TERMINISYLLABUS
ONTOLOGIARUOLI
Attività vincoli
LEGAL KNOWLEDGE MANAGEMENT SYSTEM
LEGAL DOCUMENTMANAGEMENT SYSTEM
XMLLEGGI
ART. RILEVANT
I
TERMINISYLLABUS
ONTOLOGIARUOLI
OBBLIGHIPERMESSI
Nuova legge<art n=“1”>Il promotore di cui all’ <ref urn=“art4”>art. 4 di…
<ref> deve</art>
XML Parser
Riferimenti
Estrazione termini
Analisi concetti
Analisi norme
26
La sperimentazione oggi si è concentrata su un caso di test specifico riguardante una parte della legge sulla MIFID DIRETTIVA “MiFID” Markets in Financial Instruments Directive
•Analisi del processo “Offerta fuori sede di servizi di investimento”•Riferimenti Normativi afferenti•Analisi semnatica e ontologica della direttiva (Es art. 30)
27
Fase Operazione Norme Collegate
1.1 IDENTIFICAZIONE CLIENTE TRAMITE OFFERTA FUORI SEDEIl promotore accerta l’identità del cliente attraverso un documento di riconoscimento valido (ad esempio: carta d'identità, patente, passaporto, ecc.) ed il relativo codice fiscale.
Art. 30 – TUF / Art. 31 - TUFArt. 78 Reg. Consob 16190Art. 108 – Reg. Consob 16190
1.2 CONSEGNA DOCUMENTAZIONE INFORMATIVA AL CLIENTEAl momento del primo contatto, il promotore provvede a consegnare all’investitore:-la copia di una dichiarazione redatta dal soggetto abilitato da cui risultino gli elementi identificativi di tale soggetto, gli estremi di iscrizione all'albo e i dati anagrafici del promotore; -la copia dell'informativa sulle principali regole di comportamento del promotore finanziario nei confronti degli investitori.
Art.108 – Reg. Consob 16190Allegato n.4 – Reg. Consob 16190Art. 29 – Dir. 2006/73/CEArt. 30 – Dir. 2006/73/CE
Art. 34 – Reg. Consob 16190
1.3 ACQUISIZIONE INFORMAZIONI TRAMITE COLLOQUIOIl promotore provvede ad acquisire dal cliente tutte le informazioni necessarie per valutarela sua situazione finanziaria, i suoi obiettivi d’investimento e la sua conoscenza ed esperienza.
Art. 39 – Reg. Consob 16190 Art. 40 – Reg. Consob 16190 Art. 35 – Dir. 2006/73/CE Art. 36 – Dir. 2006/73/CE
1.4 VALUTAZIONE PROFILO ADEGUATEZZA/ APPROPRIATEZZAIl Promotore, ricevute le informazioni dal cliente necessarie per la profilatura dello stesso, provvede a compilare l'apposito modulo e a comunicargli il proprio profilo di adeguatezza/ appropriatezza (prudente/equilibrato/dinamico/aggressivo)
Art. 41 – Reg. Consob 16190Art. 42 – Reg. Consob 16190Allegato n.4 – Reg. Consob 16190Art. 37 – Dir. 2006/73/CE
1.5 SOTTOSCRIZIONE E CONSEGNA QUESTIONARIO MIFID COMPILATOIl Promotore provvede a far sottoscrivere e a far firmare al cliente in quadrupla
copia il questionario Mifid compilato, rilasciandone una copia allo stesso cliente.Tale documento deve essere convalidato dal promotore mediante l'apposizione del timbro e della firma dello stesso.
Allegato n.4 – Reg. Consob 16190
1.6 CONSERVAZIONE DOCUMENTAZIONE CLIENTEIl Promotore archivia la documentazione inerente il cliente in appositi fascicoli intestati ai singoli clienti.
Art. 51 - Dir. 2006/73/CE Art .109 – Reg. Consob 16190
1.7 APERTURA RAPPORTO PER OFFERTA FUORI SEDE
28
– Check e verifica Ex-post: Verifico se tutti gli obblighi normativi sono considerati nei documenti che vengono prodotti al cliente di una banca.
– Processo formazione di una legge: sia nell’iter sia nei contenuti di una legge fornire strumenti per la vicinanza semantica con altre leggi di altri corpus normativi.
– Ricerca semiautomatica: termini syllabus associati a norme. Ricerca full text termini mi collega anche a norme.
– Ricerca ontologica: se trovo il collegamento ad un concetto, questo mi suggerisce ruoli tematici.
Altri possibili utilizzi
29
Augeos
l’arte di creare soluzioni innovative