La Compliance e la Governance: un framework per …...La Compliance riveste sempre più un ruolo...

La Compliance e la Governance: un framework per la gestione integrata

Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale

M. Nicoletta De Bonis - Direttore Sviluppo Prodotti, Opentech

La società Opentech

Società di Servizi

Certificata in Qualità per

•Tecnologia dell’Informazione

•Formazione

•Servizi Professionali

Personale tecnico

certificato Microsoft

Collaborazioni

•Università

•Specialisti (Legali, Organizzazione)

•Associazioni di categoria

Compliance è ‘core business’


Soluzione informaticaDatabase Tipologici; Aggiornamenti

di Norme, Processi, RischiSupporto alla Formazione Network di competenze per servizi

La Compliance

Cosa è la Compliance?

Processo di garanzia del rispetto delle normative esterne (cogenti/volontarie) e delle policies interne.

Attività preventiva di controllo del rischio di non conformità

Attività di consolidamento del rapporto fiduciario con la Clientela e con gli stakeholder

Rischio e Conformità sono due concetti tra loro strettamente collegati. Tramite la valutazione del rischio si può valutare l’efficacia delle politiche di conformità.


Il rischio di Compliance

Cos’è il rischio di Compliance?

“Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione"

(Disposizioni di Vigilanza – La Funzione di conformità , Banca d’Italia 10/07/2007)

Come si abbassa il rischio di non conformità?

Monitorando il livello di conformità e le conseguenze correlate (penali, economiche e di reputazione) derivanti dai mancati adempimenti.

Definendo i fattori preventivi e correttivi di contenimento del rischio


Compliance integrata

La Compliance riveste sempre più un ruolo cruciale: non si tratta solo del rispetto diadempimenti alle normative esterne e alle policies e strategie interne, ma di affrontarein modo proattivo la complessità in cui opera l'Azienda, passando da un approccio perprogetti settoriali ad una gestione integrata che condivida:

il sistema delle regole e delle policies interne

il sistema dei processi e delle responsabilità in cui l’Azienda si articola

il sistema dei controlli

la valutazione dei rischi

il sistema di reporting

Normative e Policies

Rischi

Controlli

Processi

Reporting


Approccio per progetti

Dlgs. 196

Dlgs. 81

Legge 262

Dlgs. 163

Dlgs. 231

ProcessiControlliRischi






Approccio Integrato

Dlgs. 196

Dlgs. 81

Legge 262

Dlgs. 163

Dlgs. 231

Processi

Controlli

Rischi


I Controlli

Aiutano a rafforzare la fiducia da parte degli stakeholder

Sono proporzionati alle dimensioni e alla complessità

dell’azienda

Individuano modalità organizzative e operative che,

nel rispetto delle norme, valorizzino le sinergie tra

organi, funzioni e strutture di controllo ed eliminino inutili

sovrapposizioni

Definiscono i confini operativi, i flussi informativi, i modelli di

collaborazione.

Ciò consentirà di contenere i costi della funzione di

conformità e di assicurare l’efficiente funzionamento del

sistema dei controlli.

Vanno integrati con corretti meccanismi di incentivazione

e remunerazione e con opportuni flussi informativi.

La fiducia è da sempre alla base del corretto funzionamento del sistema finanziario e

dell’economia nel suo complesso. Efficaci sistemi di governo e di controllo riducono i

rischi, agevolano comportamenti corretti ed etici

Funzioni di controllo autorevoli, innovative, contribuiscono a guidare gli organi di vertice verso scelte strategiche

coerenti con il quadro normativo e con le proprie potenzialità, creano una cultura aziendale di correttezza dei

comportamenti e di affidabilità, accrescono la fiducia del mercato nell’operatività delle banche.


Gli Attori

Risk Manager

Compliance Officer

Internal Audit

Consiglio di Amministrazione

Collegio Sindacale

Amministratore Delegato

Dirigente Preposto

Responsabile Qualità

Sistema Integrato delle Responsabilità

CONSOB

ISVAP

GARANTE DELLA PRIVACY

BANCA D’ITALIA

GARANTE DELLA CONCORRENZA (ANTITRUST)

AUTHORITY APPALTI

GARANTE TELECOMUNICAZIONI


Collaborazione tra funzioni aziendali

La funzione di conformità collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo.

Disposizioni di Vigilanza – La Funzione di conformità, Banca d’Italia - 10 luglio 2007

Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali.

Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia -4 marzo 2008


L’Organizzazione

Identifica i Processi e i Ruoli Aziendali

Guida, fornisce supporto per la loro descrizione e divulga le procedure

Collabora alla descrizione di Workflow di Processo

Supporta la Compliance nella mappatura tra Processi e Adempimenti Normativi

Collabora alla definizione dei Rischi, sia di non Compliance, sia Operativi

Aggiornamento continuo: adeguamento e miglioramento dei Processi al sistema delle Regole, alla situazione aziendale, sulla base degli esiti dei controlli e misure di efficienza

Identifica e sovrintende alle regole per controllo della documentazione e dei flussi informativi ( tracciabilità)


I risultati degli Audit e le raccomandazioni assegnate sono un elemento fondamentalenel processo di verifica della situazione di Conformità, così come i monitoraggi promossidalla Compliance possono far concentrare gli Audit su determinate aree. Si possonoevitare sovrapposizioni e potenziare i controlli sui Processi più a rischio. L’Internal Auditpianifica e conduce gli audit anche sulla funzione di Compliance.

L’Internal Audit e il Risk Manager

L’Internal Audit il Risk Manager e la Compliance collaborano tra di loro,scambiandosi ogni informazione utile per l’espletamento dei rispettivi compiti

(Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLIINTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DIASSICURAZIONE)

Compliance

RiskInternal

Audit

I Rischi di Compliance sono una parte deiRischi che l’Azienda corre nelle attivitàoperative.Il sistema di valutazione dei Rischi diCompliance deve essere omogeneo con quello divalutazioni degli altri Rischi.La stessa attività può portare a Rischi di nonconformità e a Rischi operativi. Le azioni dimitigazione possono coincidere e possonoessere armonizzate tra le due Funzioni.


La formazione, nell’ambito degli Obiettivi prefissati per la Compliance, deveprevedere

educazione sulle normative e sui regolamenti interni di riferimento

addestramento sulle attività operative correlate ai requisiti normativi

addestramento sugli strumenti messi a disposizione

workshop operativi

ulteriori incontri periodici di aggiornamento

verifiche del corretto apprendimento

analisi dei risultati

coinvolgimento delle funzioni aziendali più impegnate

Il ruolo della Formazione

Per il rispetto delle regole della compliance aziendale è determinante il ruolodella Formazione, che deve essere progettata e programmata, riguardo alrispetto delle Regole


La predisposizione di flussi informativi adeguati e in tempi coerenti con larilevanza e la complessità delle informazioni è necessaria anche per la pienavalorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazioneaziendale.

Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008

Flussi informativi

Linee applicative

a) tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi necessaria ai fini dell’adozione delle delibere sulle materie all'ordine del giorno

b) individuazione dei soggetti tenuti a inviare, su base regolare, flussi informativi agli organi aziendali

c) determinazione del contenuto minimo dei flussi informativi


Relazione di Compliance: sintesi delle attività svolte dalla Compliance, siaper gli Organi interni, sia per gli Organismi di Vigilanza

Sintesi dei Rischi per Normativa, Linea di Business, Processi/gruppi diProcesso,….

Piani di azioni preventive

Rapporti di Verifica

Adempimenti per Responsabile

………….

Analoga reportistica deve essere fornita dalla altre funzioni aziendali

Sistema di Reportistica


Per le verifiche e la tracciabilità delle attività operative è necessario avere un solido e flessibile sistema di documentazione, con:

strumenti che consentono di registrare le operazioni (es. applicativi sw,…)

regole di gestione della documentazione

workflow di supporto all’operatività su processi specifici

sistemi di alert per redazione, invio e ricevimento documenti

Formalizzazione delle attività


I Sistemi IT

I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, rispondenti ai principi di cui all’articolo 12, comma 2. (Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza)

Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI,COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE)

COBIT: Control Objectives for Information and related Technology, è un

insieme di best practice per la gestione manageriale dell'informaticaaziendale. Si tratta di un vero e proprio framework di IT Governance creatooriginariamente da ISACA, Information Systems Audit and ControlAssociation e successivamente gestito in partnership con l’IT GovernanceInstitute (ITGI)

Security Governance: un insieme di attività e operazioni che consentono di

impostare al meglio il processo di gestione della sicurezza in conformità a

standard/normative di settore e parallelamente alle strategie di business

aziendali.


http://www.isaca.org/template.cfm?section=home

http://www.itgi.org/

Il framework di un Sistema Integrato

Riferimenti metodologici

• Linee guida AICOM

• Università Cattolica

• Metodologie standard ERM COSO e COBIT®

Basata sugli Asset aziendali correlati e registrati nel tempo

• Processi aziendali, Procedure

• Strutture organizzative

• Infrastrutture

Processo continuo

• Norme /Obiettivi ed Eventi di Rischio

• Valutazione Rischio e Contromisure

• Verifiche• Valutazione Rischio Residuo

• Reporting

Supporto alla Direzione e agli Organi di Controllo

• Piani Aziendali e di Gruppo

• Management Review

• Misure di Performance, Conformità e Rischio

Sistema diGovernance,

Compliance, Risk


Il Processo di Compliance e del Rischio

Processo continuo

Definire Responsabilità

Budget Piano

Identificare le Norme di riferimento

Individuare le Disposizioni e definire i Rischi

Inerenti

Predisporre le Contromisure

Effettuare leVerifiche e le

Azioni di Miglioramento

Monitorare il Rischio Residuo

Flussi Informativi e

Report

Norme

Normativa di Vigilanza della Banca d’Italia 10/07/2007

Normativa congiunta CONSOB e Banca d’Italia 29/10/2007

Regolamento ISVAP n.20 del 26/3/2008


Il modello

VALUTAZIONE RISCHI RESIDUI E INVIO INFORMATIVE

Valutazione continua del Rischio Residuo Produzione e Invio Flussi Informativi

MONITORAGGIO

Piani e Riesami Verifiche Esiti Verifiche e Azioni Correttive

VERIFICA ADEGUATEZZA E AZIONI PREVENTIVE

Mappatura Norme con Processi Verifica adeguatezza Organizzazione e

InfrastruttureAzioni Preventive/ Controlli

IDENTIFICAZIONE NORME E RISCHI INERENTI

Identificazione Norme/Obiettivi

Identificazione Adempimenti/ Eventi di Rischio

Associazione Sanzioni/Danni Valutazione Rischio Inerente


Legal Inventory

Normative esterne (cogenti e volontarie)

Policies interne e regolamenti aziendali e di gruppo

Estrazione degli Adempimenti (Obblighi e Divieti) /Eventi di Rischio collegati alle Sanzioni – Database Normativi

Aggiornamento continuo (Studi Legali o Associazioni di settore)

Storicità

Supporto a specifici Adempimenti tramite linee guida o sentenze

Utilizzo di standard pubblici

………….

Privacy SSLavoroAntiriciclaggio

Usura

Market Abuse

…………Resp. Amministrativa

Ambiente………….

Qualità

………....

Appalti

Codice del Consumo

Legge sul Risparmio

Sicurezza Informatica


Standard CNIPA


Mappatura Processi/Norme-Procedure

Granularità dei Processi (Macroprocessi, Processi, Attività)

Identificazione dei Processi relativi agli Adempimenti

Identificazione delle Procedure di descrizione delle modalità di esecuzione degli Adempimenti e dei Responsabili coinvolti

Identificazione dei flussi/informazioni correlati

Identificazione delle Infrastrutture utilizzate (sw, macchine,…)

Modelli di workflow relativi a specifici processi, con avvisi di esecuzione

Valutazione della complessità operativa dei Processi allo scopo di valutare il rischio di non conformità che può derivarne

Valutazione dell’efficienza (tempi medi di esecuzione, ricicli su attività, ..)

Azioni Preventive Organizzative


Esempio Mappatura Processi/Norme-Procedure


Azioni Preventive e Controlli - Verifiche

Azioni Preventive e Controlli

Organizzative

Formazione/Addestramento

Infrastrutturali (applicativi software a supporto, strumenti hw, …)

Valutazione dell’Efficacia dell’Azione (per valutare il rischio di Non Conformità)

Verifiche

Pianificazione delle Verifiche

Esecuzione Verifica (Tipologie diverse, tramite checklist, interne/esterne,..)

Identificazione delle Non Conformità e indicazione di Azioni Correttive

Verifica chiusura Non Conformità

Statistiche e sintesi

Valutazione della Adeguatezza rispetto agli obiettivi


Ciclo di Valutazione del Rischio

ValutazioneContinua Livello di

Rischio

Livello di RischioAccettabile

Valutazione Livellodi Rischio Inerente

(ex ante)

Azioni Preventive (Controlli, Procedure,

Formazione)

Verifiche e AzioniCorrettive

Valutazione Livellodi Rischio Residuo

Storia Livello diRischio


Esempio di Valutazione Rischi di Conformità


Sintesi dei Rischi

Sintesi Rischi per:. Processo. Linea di Business. Event type. Norma. Azienda


Lesson learning

Avvio graduale per le norme esterne ed interne,

Avvio graduale per Funzioni Aziendali, Società , Gruppo

Gestione e distribuzione dei Processi (distinzione tra quelli in comune e quelli specifici)

Disponibilità di Data Base Tipologici per diverse Norme

Disponibilità di Controlli COBIT®

Strumenti di gestione dei Processi, Procedure e Organizzazione

Strumenti di valutazione e di sintesi per Controlli e Rischi, …

Strumenti operativi condivisi da più Funzioni Aziendali

Estensione graduale alle funzionalità di Governance e di Rischio – GRC

Elementi chiave per l’avvio della Compliance


Compliance

Copyright Opentech 2009- Il contenuto non può essere disgiunto dalla esposizione verbale

La Compliance e la Governance: un framework per …...La Compliance riveste sempre più un ruolo...

Documents

Transcript of La Compliance e la Governance: un framework per …...La Compliance riveste sempre più un ruolo...