La Compliance e la Governance: un framework per la gestione integrata
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
M. Nicoletta De Bonis - Direttore Sviluppo Prodotti, Opentech
La società Opentech
Società di Servizi
Certificata in Qualità per
•Tecnologia dell’Informazione
•Formazione
•Servizi Professionali
Personale tecnico
certificato Microsoft
Collaborazioni
•Università
•Specialisti (Legali, Organizzazione)
•Associazioni di categoria
Compliance è ‘core business’
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Soluzione informaticaDatabase Tipologici; Aggiornamenti
di Norme, Processi, RischiSupporto alla Formazione Network di competenze per servizi
La Compliance
Cosa è la Compliance?
Processo di garanzia del rispetto delle normative esterne (cogenti/volontarie) e delle policies interne.
Attività preventiva di controllo del rischio di non conformità
Attività di consolidamento del rapporto fiduciario con la Clientela e con gli stakeholder
Rischio e Conformità sono due concetti tra loro strettamente collegati. Tramite la valutazione del rischio si può valutare l’efficacia delle politiche di conformità.
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Il rischio di Compliance
Cos’è il rischio di Compliance?
“Il rischio di non conformità alle norme è il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione"
(Disposizioni di Vigilanza – La Funzione di conformità , Banca d’Italia 10/07/2007)
Come si abbassa il rischio di non conformità?
Monitorando il livello di conformità e le conseguenze correlate (penali, economiche e di reputazione) derivanti dai mancati adempimenti.
Definendo i fattori preventivi e correttivi di contenimento del rischio
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Compliance integrata
La Compliance riveste sempre più un ruolo cruciale: non si tratta solo del rispetto diadempimenti alle normative esterne e alle policies e strategie interne, ma di affrontarein modo proattivo la complessità in cui opera l'Azienda, passando da un approccio perprogetti settoriali ad una gestione integrata che condivida:
il sistema delle regole e delle policies interne
il sistema dei processi e delle responsabilità in cui l’Azienda si articola
il sistema dei controlli
la valutazione dei rischi
il sistema di reporting
Normative e Policies
Rischi
Controlli
Processi
Reporting
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Approccio per progetti
Dlgs. 196
Dlgs. 81
Legge 262
Dlgs. 163
Dlgs. 231
ProcessiControlliRischi
ProcessiControlliRischi
ProcessiControlliRischi
ProcessiControlliRischi
ProcessiControlliRischi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Approccio Integrato
Dlgs. 196
Dlgs. 81
Legge 262
Dlgs. 163
Dlgs. 231
Processi
Controlli
Rischi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
I Controlli
Aiutano a rafforzare la fiducia da parte degli stakeholder
Sono proporzionati alle dimensioni e alla complessità
dell’azienda
Individuano modalità organizzative e operative che,
nel rispetto delle norme, valorizzino le sinergie tra
organi, funzioni e strutture di controllo ed eliminino inutili
sovrapposizioni
Definiscono i confini operativi, i flussi informativi, i modelli di
collaborazione.
Ciò consentirà di contenere i costi della funzione di
conformità e di assicurare l’efficiente funzionamento del
sistema dei controlli.
Vanno integrati con corretti meccanismi di incentivazione
e remunerazione e con opportuni flussi informativi.
La fiducia è da sempre alla base del corretto funzionamento del sistema finanziario e
dell’economia nel suo complesso. Efficaci sistemi di governo e di controllo riducono i
rischi, agevolano comportamenti corretti ed etici
Funzioni di controllo autorevoli, innovative, contribuiscono a guidare gli organi di vertice verso scelte strategiche
coerenti con il quadro normativo e con le proprie potenzialità, creano una cultura aziendale di correttezza dei
comportamenti e di affidabilità, accrescono la fiducia del mercato nell’operatività delle banche.
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Gli Attori
Risk Manager
Compliance Officer
Internal Audit
Consiglio di Amministrazione
Collegio Sindacale
Amministratore Delegato
Dirigente Preposto
Responsabile Qualità
Sistema Integrato delle Responsabilità
CONSOB
ISVAP
GARANTE DELLA PRIVACY
BANCA D’ITALIA
GARANTE DELLA CONCORRENZA (ANTITRUST)
AUTHORITY APPALTI
GARANTE TELECOMUNICAZIONI
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Collaborazione tra funzioni aziendali
La funzione di conformità collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo.
Disposizioni di Vigilanza – La Funzione di conformità, Banca d’Italia - 10 luglio 2007
Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali.
Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia -4 marzo 2008
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
L’Organizzazione
Identifica i Processi e i Ruoli Aziendali
Guida, fornisce supporto per la loro descrizione e divulga le procedure
Collabora alla descrizione di Workflow di Processo
Supporta la Compliance nella mappatura tra Processi e Adempimenti Normativi
Collabora alla definizione dei Rischi, sia di non Compliance, sia Operativi
Aggiornamento continuo: adeguamento e miglioramento dei Processi al sistema delle Regole, alla situazione aziendale, sulla base degli esiti dei controlli e misure di efficienza
Identifica e sovrintende alle regole per controllo della documentazione e dei flussi informativi ( tracciabilità)
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
I risultati degli Audit e le raccomandazioni assegnate sono un elemento fondamentalenel processo di verifica della situazione di Conformità, così come i monitoraggi promossidalla Compliance possono far concentrare gli Audit su determinate aree. Si possonoevitare sovrapposizioni e potenziare i controlli sui Processi più a rischio. L’Internal Auditpianifica e conduce gli audit anche sulla funzione di Compliance.
L’Internal Audit e il Risk Manager
L’Internal Audit il Risk Manager e la Compliance collaborano tra di loro,scambiandosi ogni informazione utile per l’espletamento dei rispettivi compiti
(Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLIINTERNI, GESTIONE DEI RISCHI, COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DIASSICURAZIONE)
Compliance
RiskInternal
Audit
I Rischi di Compliance sono una parte deiRischi che l’Azienda corre nelle attivitàoperative.Il sistema di valutazione dei Rischi diCompliance deve essere omogeneo con quello divalutazioni degli altri Rischi.La stessa attività può portare a Rischi di nonconformità e a Rischi operativi. Le azioni dimitigazione possono coincidere e possonoessere armonizzate tra le due Funzioni.
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La formazione, nell’ambito degli Obiettivi prefissati per la Compliance, deveprevedere
educazione sulle normative e sui regolamenti interni di riferimento
addestramento sulle attività operative correlate ai requisiti normativi
addestramento sugli strumenti messi a disposizione
workshop operativi
ulteriori incontri periodici di aggiornamento
verifiche del corretto apprendimento
analisi dei risultati
coinvolgimento delle funzioni aziendali più impegnate
Il ruolo della Formazione
Per il rispetto delle regole della compliance aziendale è determinante il ruolodella Formazione, che deve essere progettata e programmata, riguardo alrispetto delle Regole
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
La predisposizione di flussi informativi adeguati e in tempi coerenti con larilevanza e la complessità delle informazioni è necessaria anche per la pienavalorizzazione dei diversi livelli di responsabilità all’interno dell’organizzazioneaziendale.
Disposizioni di Vigilanza in materia di Organizzazione e Governo Societario, Banca d’Italia - 4 marzo 2008
Flussi informativi
Linee applicative
a) tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi necessaria ai fini dell’adozione delle delibere sulle materie all'ordine del giorno
b) individuazione dei soggetti tenuti a inviare, su base regolare, flussi informativi agli organi aziendali
c) determinazione del contenuto minimo dei flussi informativi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Relazione di Compliance: sintesi delle attività svolte dalla Compliance, siaper gli Organi interni, sia per gli Organismi di Vigilanza
Sintesi dei Rischi per Normativa, Linea di Business, Processi/gruppi diProcesso,….
Piani di azioni preventive
Rapporti di Verifica
Adempimenti per Responsabile
………….
Analoga reportistica deve essere fornita dalla altre funzioni aziendali
Sistema di Reportistica
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Per le verifiche e la tracciabilità delle attività operative è necessario avere un solido e flessibile sistema di documentazione, con:
strumenti che consentono di registrare le operazioni (es. applicativi sw,…)
regole di gestione della documentazione
workflow di supporto all’operatività su processi specifici
sistemi di alert per redazione, invio e ricevimento documenti
Formalizzazione delle attività
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
I Sistemi IT
I sistemi informatici devono essere appropriati rispetto alle dimensioni e all’attività dell’impresa e devono fornire informazioni, sia all’interno che all’esterno, rispondenti ai principi di cui all’articolo 12, comma 2. (Il sistema dei controlli interni garantisce che le informazioni rispettino i principi di accuratezza, completezza, tempestività, coerenza, trasparenza e pertinenza)
Regolamento ISVAP 20/2008 - REGOLAMENTO RECANTE DISPOSIZIONI IN MATERIA DI CONTROLLI INTERNI, GESTIONE DEI RISCHI,COMPLIANCE ED ESTERNALIZZAZIONE DELLE ATTIVITÀ DELLE IMPRESE DI ASSICURAZIONE)
COBIT: Control Objectives for Information and related Technology, è un
insieme di best practice per la gestione manageriale dell'informaticaaziendale. Si tratta di un vero e proprio framework di IT Governance creatooriginariamente da ISACA, Information Systems Audit and ControlAssociation e successivamente gestito in partnership con l’IT GovernanceInstitute (ITGI)
Security Governance: un insieme di attività e operazioni che consentono di
impostare al meglio il processo di gestione della sicurezza in conformità a
standard/normative di settore e parallelamente alle strategie di business
aziendali.
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Il framework di un Sistema Integrato
Riferimenti metodologici
• Linee guida AICOM
• Università Cattolica
• Metodologie standard ERM COSO e COBIT®
Basata sugli Asset aziendali correlati e registrati nel tempo
• Processi aziendali, Procedure
• Strutture organizzative
• Infrastrutture
Processo continuo
• Norme /Obiettivi ed Eventi di Rischio
• Valutazione Rischio e Contromisure
• Verifiche• Valutazione Rischio Residuo
• Reporting
Supporto alla Direzione e agli Organi di Controllo
• Piani Aziendali e di Gruppo
• Management Review
• Misure di Performance, Conformità e Rischio
Sistema diGovernance,
Compliance, Risk
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Il Processo di Compliance e del Rischio
Processo continuo
Definire Responsabilità
Budget Piano
Identificare le Norme di riferimento
Individuare le Disposizioni e definire i Rischi
Inerenti
Predisporre le Contromisure
Effettuare leVerifiche e le
Azioni di Miglioramento
Monitorare il Rischio Residuo
Flussi Informativi e
Report
Norme
Normativa di Vigilanza della Banca d’Italia 10/07/2007
Normativa congiunta CONSOB e Banca d’Italia 29/10/2007
Regolamento ISVAP n.20 del 26/3/2008
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Il modello
VALUTAZIONE RISCHI RESIDUI E INVIO INFORMATIVE
Valutazione continua del Rischio Residuo Produzione e Invio Flussi Informativi
MONITORAGGIO
Piani e Riesami Verifiche Esiti Verifiche e Azioni Correttive
VERIFICA ADEGUATEZZA E AZIONI PREVENTIVE
Mappatura Norme con Processi Verifica adeguatezza Organizzazione e
InfrastruttureAzioni Preventive/ Controlli
IDENTIFICAZIONE NORME E RISCHI INERENTI
Identificazione Norme/Obiettivi
Identificazione Adempimenti/ Eventi di Rischio
Associazione Sanzioni/Danni Valutazione Rischio Inerente
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Legal Inventory
Normative esterne (cogenti e volontarie)
Policies interne e regolamenti aziendali e di gruppo
Estrazione degli Adempimenti (Obblighi e Divieti) /Eventi di Rischio collegati alle Sanzioni – Database Normativi
Aggiornamento continuo (Studi Legali o Associazioni di settore)
Storicità
Supporto a specifici Adempimenti tramite linee guida o sentenze
Utilizzo di standard pubblici
………….
Privacy SSLavoroAntiriciclaggio
Usura
Market Abuse
…………Resp. Amministrativa
Ambiente………….
Qualità
………....
Appalti
Codice del Consumo
Legge sul Risparmio
Sicurezza Informatica
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Standard CNIPA
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Mappatura Processi/Norme-Procedure
Granularità dei Processi (Macroprocessi, Processi, Attività)
Identificazione dei Processi relativi agli Adempimenti
Identificazione delle Procedure di descrizione delle modalità di esecuzione degli Adempimenti e dei Responsabili coinvolti
Identificazione dei flussi/informazioni correlati
Identificazione delle Infrastrutture utilizzate (sw, macchine,…)
Modelli di workflow relativi a specifici processi, con avvisi di esecuzione
Valutazione della complessità operativa dei Processi allo scopo di valutare il rischio di non conformità che può derivarne
Valutazione dell’efficienza (tempi medi di esecuzione, ricicli su attività, ..)
Azioni Preventive Organizzative
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Esempio Mappatura Processi/Norme-Procedure
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Azioni Preventive e Controlli - Verifiche
Azioni Preventive e Controlli
Organizzative
Formazione/Addestramento
Infrastrutturali (applicativi software a supporto, strumenti hw, …)
Valutazione dell’Efficacia dell’Azione (per valutare il rischio di Non Conformità)
Verifiche
Pianificazione delle Verifiche
Esecuzione Verifica (Tipologie diverse, tramite checklist, interne/esterne,..)
Identificazione delle Non Conformità e indicazione di Azioni Correttive
Verifica chiusura Non Conformità
Statistiche e sintesi
Valutazione della Adeguatezza rispetto agli obiettivi
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Ciclo di Valutazione del Rischio
ValutazioneContinua Livello di
Rischio
Livello di RischioAccettabile
Valutazione Livellodi Rischio Inerente
(ex ante)
Azioni Preventive (Controlli, Procedure,
Formazione)
Verifiche e AzioniCorrettive
Valutazione Livellodi Rischio Residuo
Storia Livello diRischio
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Esempio di Valutazione Rischi di Conformità
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Sintesi dei Rischi
Sintesi Rischi per:. Processo. Linea di Business. Event type. Norma. Azienda
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Lesson learning
Avvio graduale per le norme esterne ed interne,
Avvio graduale per Funzioni Aziendali, Società , Gruppo
Gestione e distribuzione dei Processi (distinzione tra quelli in comune e quelli specifici)
Disponibilità di Data Base Tipologici per diverse Norme
Disponibilità di Controlli COBIT®
Strumenti di gestione dei Processi, Procedure e Organizzazione
Strumenti di valutazione e di sintesi per Controlli e Rischi, …
Strumenti operativi condivisi da più Funzioni Aziendali
Estensione graduale alle funzionalità di Governance e di Rischio – GRC
Elementi chiave per l’avvio della Compliance
Copyright Opentech 2009 - Il contenuto non può essere disgiunto dalla esposizione verbale
Compliance
Copyright Opentech 2009- Il contenuto non può essere disgiunto dalla esposizione verbale
Top Related