Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Compliance e controlli interni banca, Schemi e mappe concettuali di Controlli Automatici

Domande orali di compliance e controlli interni banca

Tipologia: Schemi e mappe concettuali

2021/2022

Caricato il 16/06/2022

cristi-melnic
cristi-melnic 🇮🇹

4.3

(8)

2 documenti

1 / 31

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
1. Il CoSo Report del 2004: ERM (Enterprise Risk Management) (pag4)
Il primo Coso Report fu scritto nel 1992 come conseguenza della perdita della fiducia nei SCI dopo le
crisi finanziarie degli anni 80 90. Le associazioni professionali in termini di internal audit anglosassoni,
definirono una commissione di studio il cui obiettivo era di individuare le cause che hanno portato a questa
perdita di fiducia per le figure dello SCI. Tale commissione chiamata la Treadway Commission ha sviluppato
uno studio per elaborare un modello di gestione per supportare il management nelle decisioni strategiche e
per ottimizzare i processi di controllo. La versione definitiva di tale report prende il nome di CoSo Report
(Committee of Sponsoring Organizations). Lo scopo del CoSo Report è di fornire delle linee guida sulla
gestione del rischio aziendali, sul sistema dei controlli interni delle società e sulla deterrenza delle frodi che
consentano alla società di sviluppare una buona governance per presidiare e controllare gli effetti
sull’operatività. Il primo Coso Report prevedeva uno SCI costruito su 3 diversi elementi:
- Gli obiettivi dell’organizzazione: operativi, finanziari, di controllo nei confronti di leggi e regolamenti
- Componenti (ambiente di controllo, valutazione dei rischi, attività di controllo, comunicazione ed
informazione, monitoraggio)
- Dimensione organizzativa: azienda, business unit, department.
Da questo report si evidenzia il fatto che l’attività di controllo interno è un processo svolto dal CdA, dai
dirigenti e dagli altri operatori della struttura aziendale, che si prefigge il raggiungimento dei seguenti
obiettivi:
1- Efficacia ed efficienza delle attività operative
2- Attendibilità delle informazioni e dei bilanci
3- Conformità alle leggi e ai regolamenti
4- Salvaguardia del patrimonio aziendale
Come conseguenza, lo SCI è un mezzo per arrivare ad un fine. È un processo che coinvolge tutte le
funzioni aziendali e che dà luogo ad una serie di azioni che riguardano tutta l’attività aziendale. Il controllo
interno è formato da:
1- Ambiente di controllo
2- Valutazione dei rischi
3- Attività di controllo
4- Informazione e comunicazione
5- Monitoraggio
Ambiente di controllo: insieme di tutte le componenti del sistema di controllo, composta da moteplici
variabili di carattere sociali, tecnico, individuale e istituzionale
Valutazione del rischio: la valutazione del rischio ha assunto un’importanza sempre più strategica per gli
intermediari, ai quali è richiesta la corretta e puntuale individuazione, misurazione, gestione e monitoraggio
degli stessi. I rischi dipendono da variabili sistemiche e interne, la misurazione degli stesso si basa sul
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f

Anteprima parziale del testo

Scarica Compliance e controlli interni banca e più Schemi e mappe concettuali in PDF di Controlli Automatici solo su Docsity!

1. Il CoSo Report del 2004: ERM (Enterprise Risk Management) (pag4)

Il primo Coso Report fu scritto nel 1992 come conseguenza della perdita della fiducia nei SCI dopo le crisi finanziarie degli anni 80 90. Le associazioni professionali in termini di internal audit anglosassoni, definirono una commissione di studio il cui obiettivo era di individuare le cause che hanno portato a questa perdita di fiducia per le figure dello SCI. Tale commissione chiamata la Treadway Commission ha sviluppato uno studio per elaborare un modello di gestione per supportare il management nelle decisioni strategiche e per ottimizzare i processi di controllo. La versione definitiva di tale report prende il nome di CoSo Report (Committee of Sponsoring Organizations). Lo scopo del CoSo Report è di fornire delle linee guida sulla gestione del rischio aziendali, sul sistema dei controlli interni delle società e sulla deterrenza delle frodi che consentano alla società di sviluppare una buona governance per presidiare e controllare gli effetti sull’operatività. Il primo Coso Report prevedeva uno SCI costruito su 3 diversi elementi:

  • Gli obiettivi dell’organizzazione: operativi, finanziari, di controllo nei confronti di leggi e regolamenti
  • Componenti (ambiente di controllo, valutazione dei rischi, attività di controllo, comunicazione ed informazione, monitoraggio)
  • Dimensione organizzativa: azienda, business unit, department. Da questo report si evidenzia il fatto che l’attività di controllo interno è un processo svolto dal CdA, dai dirigenti e dagli altri operatori della struttura aziendale, che si prefigge il raggiungimento dei seguenti obiettivi: 1- Efficacia ed efficienza delle attività operative 2- Attendibilità delle informazioni e dei bilanci 3- Conformità alle leggi e ai regolamenti 4- Salvaguardia del patrimonio aziendale Come conseguenza, lo SCI è un mezzo per arrivare ad un fine. È un processo che coinvolge tutte le funzioni aziendali e che dà luogo ad una serie di azioni che riguardano tutta l’attività aziendale. Il controllo interno è formato da: 1- Ambiente di controllo 2- Valutazione dei rischi 3- Attività di controllo 4- Informazione e comunicazione 5- Monitoraggio Ambiente di controllo : insieme di tutte le componenti del sistema di controllo, composta da moteplici variabili di carattere sociali, tecnico, individuale e istituzionale Valutazione del rischio : la valutazione del rischio ha assunto un’importanza sempre più strategica per gli intermediari, ai quali è richiesta la corretta e puntuale individuazione, misurazione, gestione e monitoraggio degli stessi. I rischi dipendono da variabili sistemiche e interne, la misurazione degli stesso si basa sul

principio di proporzionalità. Esistono molteplici modalità di raggruppamento dei rischi, dalla differenziazione di quelli quantificabili e quelli non. Una buona misurazione e gestione degli stessi è alla base di una prudente e sana gestione che definisce esiti positivi anche in termini di performance. Attività di controllo : Le attività di controllo sono l’insieme delle politiche e delle procedure che devono essere attivate per ridurre i rischi al raggiungimento degli obiettivi. Bisogna ricordare che la stratificazione eccessiva delle attività e la poca comunicazione tra gli organi dello SCI rende lo stesso sistema poco efficiente. Possiamo individuare 3 categorie di attività di controllo:

  • Controlli degli aspetti operativi
  • Controlli sulle informazioni di bilanci
  • Controlli sul rispetto dei vincoli legali e regolamentari Ambito informativo : nel quale la comunicazione riveste un ruolo cardine per evitare che i controlli vengano da più funzioni sia perché una comunicazione tra gli stessi rende l’attività di controllo più meticolosa e puntuale Monitoraggio : verifica l’efficienza dello SCI attraverso delle verifiche periodiche in grado di verificare nel continuo la performance dello stesso, valutando al contempo la capacità dello SCI di resilienza ai cambiamenti di scenario ambientali e normativi. Il controllo è di 2 tipi, un controllo continuo e un controllo specifico. Tali controlli sono affidati a soggetti altamente specializzati e indipendenti dal contesto aziendale. Nel 2004 è stata pubblicato il CoSo Report 2, intitolato Enterprise Risk Management. Questo elaborato porta in evidenza l’importanza del Risk Management come funzione che ha la responsabilità di individuare, monitorare, gestire e mitigare i rischi i rischi al quale l’intermediario è soggetto. Tali rischi devono essere conformi al profilo di rischio e al modello di business dell’intermediario. L’ERM deve essere un processo continuo nel corso dell’esercizio, che sia condiviso ed insito in tutti gli individui definendo delle politiche strategiche per l’allineamento tra RAF (Risk Appetite Framework= Risk Management) e BMA (Business Model Analysis). Rispetto al CoSo Report 1 il CoSo report 2 inserisce un nuovo obiettivo per cui i fini aziendali risultano essere quattro (primi 3 inclusi anche nel CoSO 1):
  • Operativi= economicità delle operazioni che devono essere concretamente realizzabili ed in linea con le richieste del mercato
  • Informativi= comunicazione adeguate rispetto alle finalità aziendali
  • Compliance= attività svolta nel rispetto delle leggi e regolamenti ++++++
  • Strategici= attraverso un’ottica di lungo periodo permettono di raggiungere i fini aziendali e creazione di valori per i vari soggetti, considerando trade off rischio- rendimento (novità ERM) I mezzi per il raggiungimento dei scopi da 5 diventano 8 andando a scomporre il Risk Assessment: 1- Ambiente di controllo 2- Valutazione dei rischi 3- controllo 4- Informazione e comunicazione 5- Monitoraggio ++++++ 6- Definizione degli obiettivi 7- Identificazione degli eventi relativi ai fattori sia esterni all’impresa sia interni 8- La risposta del rischio I mezzi vengono utilizzati per le seguenti funzioni: 1- Allineamento della strategia sui livelli di rischio accettabili 2- Riduzione della volatilità delle performance 3- Analisi e ottimizzazione delle azioni in risposta ai rischi. Come risultato finale lo scopo dell’ERM è di supportare il management nella gestione dei rischio legati al raggiungimento degli obiettivi prefissati assicurando un valore per gli stakeholders, quindi garantendo la conformità del BMA e del RAF. Conseguentemente l’ERM è stato ampliato integrando nella visione del risk management anche fattori nobili nell’analisi e gestione dei rischi, quali fattori ESG. Tali fattori si concentrano su:
  • Indirizzo dell’attività: caratterizzata in un momento iniziale dalla definizione del ruolo, degli obiettivi, delle risorse e da una fase periodica in cui sono tarati gli obiettivi e le risorse
  • Programmazione dell’attività di IA: si tratta dell’attività annuale di stesura del piano di Auditing coerente con gli obiettivi pluriennali, le risorse e le priorità stabilite
  • Generalmente, con frequenza trimestrale, il Responsabile dell’IA prepara una relazione sull’attività svolta dal Direttore Generale che riporta lo stesso al CdA e al CS
  • Realizzazione delle azioni correttive suggerite dall’IA: la D.G. Approva i piani d’intervento delle funzioni operative. Il compito della funzione IA è quello di verificare che i piani predisposti siano coerenti con gli obiettivi e i tempi stabiliti.
  • Adeguatezza dell’operato della funzione di IA: momento di verifica interna di competenza delle responsabilità dell’IA. A parte le funzioni sopra elencate legate al legame con gli organi della Alta dirigenza la funzione IA ha anche un compito che la funzione compliance stia svolgendo i compiti che le sono stati assegnati secondo la normativa come ad esempio l’informatia presso l’Autorità di Vigilanza o il rispetto della normativa in materia di market abuse, conflitti d’interesse o antiriciclaggio. Inoltre, IA effettua una revisione sul report svolto dalla funzione per assicurare che la funzione abbia comunicato eventuali irregolarità agli organi aziendali e ha dovere di informare il Compliance Offer e il Risk Manager delle inefficienze risguardo il controllo dei rischi. Ricapitolando la funzione di IA valuta l’adeguatezza dei processi, dei meccanismi di controllo, dell’organizzazione della funzione compliance e di risk management e controlla l’affidabilità dei Sistemi Informativi. La funzione Audit effettua dei controlli e delle ispezioni periodiche per assicurare da un lato la funzionalità complessiva del SCI e dall’altro che l’evoluzione dei rischi sia coerente con il RAF. La compliance segnala all’IA le inefficienze riscontrate nelle procedure e i casi di mancato rispetto della normativa, mentre l’Audit informa la funzione di conformità delle inefficienze riscontrate nell’attività di verifica. Funzione IA: metodologia di intervento top down. Dovendo valutare l’adeguatezza di tutti i processi di gestione dei rischi, e quindi non solo di conformità, svolge una verifica analitica solo sui processi ritenuti rischiosi. Funzione Compliance: per la sua valutazione del rischio di conformità (risk assessment) utilizza un approccio bottom up. Il suo controllo inizia dai processi operativi aziendali per valutare il loro grado di conformità per arrivare poi alla programmazione di interventi correttivi volti ad eliminare gli scostamenti riscontrati. Da tenere a mente il fatto che la funzione di Compliance e la funzione di IA hanno compiti completamente diversi e godono di una indipendenza e autonomia fissata normativamente che però non le impedisce di collaborare per portare un plusvalore allo SCI.

4. Differenza tra controlli di secondo e terzo livello (contiene probabile domanda RM)

Cominciando a parlare dal controllo di primo livello in modo da rendere il discorso più fluido e completo. 1- La funzione di controllo di primo livello è riconducibile ai controlli effettuati strutture operative o incorporati nelle procedure o eseguiti dal Back Office, diretti ad assicurare il corretto svolgimento delle operazioni. Questi controlli sono svolti dalle Unità Organizzative nel corso della loro quotidiana attività e vengono posti in essere principalmente sui processi che potrebbero comportare specifici rischi per l’azienda. Questi processi possono essere svolti sia da procedure automatiche sia da un soggetto coinvolto o meno nel processo. In tale fase assumono principale rilievo 2 principi:

  • Segregazione delle funzioni. Ogni fase di un’operazione non è mai presieduta da un solo soggetto
  • Four eyes principle: i controlli e i risultati di un soggetto vengono controllati e confermati da un secondo soggetto mantenendo entrambi le responsabilità. 2- La seconda linea di difesa è affidata a unità diverse da quelle produttive, ed è composta dalle funzione di controllo di secondo livello: Risk Management, Compliance, Antiriciclaggio. Parlando della funzione RM, tale funzione è la funzione di gestione dei rischi per eccellenza ì. La sua finalità è quella di redigere il RAF e di attuare politiche di controllo dei rischi attraverso delle adeguate politiche di gestione. Nel tempo tale funzione è passata da un concetto “assicurazione verso il rischio” ad un approccio di “trasferimento e mitigazione del rischio”. L’approccio del RM è di tipo metodologico quantitativo rispetto alla funzione di conformità. Il Risk Manager cerca di misurare concretamente i rischi ai quali è sottoposto l’intermediario per stimare più concretamente l’assorbimento patrimoniale. La funzione RM comunica periodicamente alla funzione compliance i dati riferiti alle perdite operative, le azioni svolte per ridurre e mitigare il rischio e i rispettivi assorbimenti di capitale. La funzione compliance invece informa, periodicamente la funzione RM riguardo l’andamento del rischio di reputazione e riguardo le azioni svolte per la sua mitigazione. Il RM sopporta la funzione di compliance per la mitigazione del rischio reputazionale e del rischio di compliance invece la compliance aiuta il RM si sovrappone con la funzione di gestione dei rischi per quanto riguarda il presidio del rischio operativo. Un corretto funzionamento tra queste 2 funzioni non fa altro che che potenziare la funzione di conformità specialmente condividendo i presidi organizzativi e le infrastrutture metodologiche. La funzione compliance: contribuisce al controllo del rischio operativo attraverso una serie di azioni tra cui:
  • Attività di risk assessment
  • Presidio metodologico
  • Il coordinamento delle attività di gestione del rischio, raccolta dati e interviste al Compliance officer La funzione RM: fornisce alla funzione di conformità dati, serie storiche di analisi dei rischi. Le principali funzioni del RM sono:
  • Definire e monitorare il RAF
  • Sviluppa e definisce i modelli interni di valutazione e misurazione dei rischi
  • Definisce e attua gli stress test
  • Valuta l’esposizione al rischio reputazione e di non conformità
  • Sviluppa indicatori in grado di monitorare l’esposizione al rischio
  • Monitora i rischi
  • Analizza i rischi di nuovi prodotti e servizi. 3- La terza linea di difesa è finalizzata alla valutazione e verifica periodica della completezza, della funzionalità e dell’adeguatezza del sistema dei controlli interni. L’attività è condotta dall’IA, il cui compito primario è fornire una valutazione indipendente dell’efficacia del sistema di controllo interno, formulando specifici suggerimenti volti al miglioramento del sistema di controllo interno.

5. I principi del SCI integrato (pag9) circolare nr. 285/2013 della BdI

Prima di parlare dello SCI integrato e cosa ne comporta sarebbe utile parlare del Comitato delle Funzioni di Controllo (audit). Tale comitato è composto da: 1- CS 2- Funzione Internal Audit (3° livello di controllo) 3- Funzione RM e Compliance (2° livello di controllo), le quali hanno il compito di supportare la Dirigenza Generale (DG) nei processi decisionali afferenti il conseguimento degli obiettivi definiti dal CdA, nel rispetto delle autonomie fissate. Il comitato:

  • esercita supporto consultivo per la DG, nell’interpretazione dei fenomeni attuali e prospettici connessi ai rischi che caratterizzano l’andamento della Banca

Domande modelli organizzativi

6. Che cos’è la governance e i modelli di governance circ. BdI n. 285

Sono i vertici dell’impresa bancaria ad assumere un ruolo centrale nella definizione, sulla base della valutazione delle specifiche caratteristiche aziendali, di assetti di governo societario idonei ad assicurare il perseguimento di detti obiettivi. La corporate governance è un insieme di relazione fra dirigenti di una società, il suo CdA, i suoi azionisti e le altre parti interessate. Il governo societario definisce la struttura attraverso la quale vengono fissati gli obiettivi della società, vengono determinati i mezzi per raggiungere tali obiettivi e vengono controllati i risultati. La governance deve garantire il rispetto dei principi di sana e prudente gestione, di stabilità patrimoniale e di mantenimento di un equilibrato profilo di liquidità, attraverso l’individuazione e l’analisi dei rischi e la conseguente consapevole loro assunzione. Prima di scegliere un modello di governance gli intermediari devono fare una analisi in modo da capire quale è il modello di governance che sarà in grado di garantire un efficiente ed efficace gestione e dei controlli. Questo ricerca si basa su:

  1. Mercati in cui opera l’intermediario
  2. La struttura proprietaria
  3. Gli obiettivi strategici di breve, medio e lungo periodo
  4. Struttura organizzativa a breve, medio e lungo termine (azienda o gruppo)
  5. La dimensione iniziale e prospettiva con la valutazione delle conseguenti complessità operative e gestionali
  6. L’eventuale apertura al mercato dei capitali in relazione ed in coerenza con gli obiettivi di piano strategico. Il concetto di modelli di governance si basa sulla presenza di certi organi che hanno dei ruoli prefissati. In base al modello adottato cambia però la composizione di questi organi, le loro funzioni ed il collegamento con gli altri organi. Con la finalità di dare una normativa volta ad aiutare gli intermediari la BdI creò la circ. N. 285/2013 che contiene i principi di minimo di organizzazione e governo societario di tutti gli intermediari. Tali principi sono:
  • Chiara distinzione dei ruoli e delle responsabilità
  • Appropriato bilanciamento dei poteri
  • Equilibrata composizione degli organi
  • Efficacia dei controlli
  • Presidio di tutti i rischi aziendali
  • Adeguatezza dei flussi informativi È la BCE e la BdI a valutare l’adeguatezza delle soluzioni organizzative e di governo societario adottate avendo riguardo all’attuazione piena e sostanziale delle presenti disposizioni e alle finalità che esse intendono conseguire ai sensi dell’art 56 TUB. In merito al processo dei rischi si distinguono responsabilità diverse per: 1- Organo con funzione di supervisione strategica È l’organo che ha come funzione di indirizzo della gestione sociale. Tra le funzioni assegnate all’Organo di Supervisione Strategica troviamo:
  • Comprendere la complessità del business e dei rischi connessi
  • Adozione di modelli imprenditoriali
  • Approvare l’assetto organizzativo e di governo societario
  • Nomina del Direttore Generale
  • Nomina e revoca dei responsabili delle funzione di SCI
  • Definire i compiti degli altri organi
  • Responsabilità di individuare e approvare orientamenti strategici e politiche di gestione dei rischi
  • Stabilisce regole di condotta da tenere all’interno della struttura
  • Definisce e approva il processo ICLAAP
  • Approva i sistemi di rilevazione contabile
  • Supervisionare il flusso di informazioni
  • Assunzioni o cessione di partecipazioni strategiche
  • Gestione rischi riciclaggio
  • Definizione obiettivi di finanza sostenibile
  • Monitoraggio e gestione dei crediti deteriorati
  • Adozione delle modifiche richieste dal regolatore 2- Organo con funzione di gestione L’organo di gestione è l’organo a cui viene affidata la gestione corrente dell’intermediario, ossia l’organo che applica le disposizioni definite dall’organo di supervisione strategica. Nel modello di governance tradizionale l’organo di funzione strategica e di funzione di gestione sono il CdA , il quale può delegare i poteri di gestione al Comitato Esecutivo e al Direttore Generale. Il contenuto di tale deleghe deve essere definito con puntualità e chiarezza e precisione, anche nell’indicazione dei limiti quantitativi o di valore e delle eventuali modalità di esercizio con la fine di consentire all’organo collegiale di verificare il loro corretto adempimento nonché l’esercizio dei propri poteri di direttiva e di avocazione. In più, l’organo con funzione di gestione deve anche:
  • Mantenere un efficace sistema di controlli dei rischi
  • Monitorare l’efficacia e l’efficienza a seguito di introduzione di nuove attività o processi rilevanti
  • Stabilire i limiti all’assunzione dei rischi e ne autorizza il superamento
  • Definire i flussi informativi interni
  • Assicura la comprensione dei rischi derivanti da nuovi servizi o prodotti
  • Attuare il processo integrato ICLAAP
  • Responsabile del funzionamento dei modelli interni del credit risk Nelle banche di grandi dimensioni o elevata complessità è possibile la presenza di più figure apicali dell’organo con funzione di gestione come ad esempio la presenza congiunta dell’amministratore delegato e del direttore generale. Tale possibilità deve essere accompagnata da una definizione puntuale dei ruoli e responsabilità di ognuno. 3- Organo con funzione di controllo L’organo con funzione di controllo vigila sull’osservanza delle norme di legge, regolamenti e statuarie, sulla corretta amministrazione, sull’adeguatezza all’asseto organizzativo e contabile della banca. Ha il compito di comunicare qualsiasi anomalia all’organo con funzione strategica. Nel modello tradizionale tale compito è affidato al CS dove il revisore contabile effettua i controlli contabili. L’assemblea nomina il CdA, CS e conferisce incarico al revisore legale dei conti. Nel modello dualistico al consiglio di sorveglianza. Ove la funzione di supervisione strategica sia assegnata al consiglio di sorveglianza o quest’ultimo abbia un numero elevato di componenti gli obiettivi della funzione di controllo devono essere assicurati attraverso la costituzione di un apposito comitato (comitato per il controllo interno) Nel monistico tale compito è dato in mano al comitato per il controllo di gestione. Nel modello dualistico e monistico le banche devono adottare idonee cautele – statutari, regolamentari e organizzativi – volte a prevenire i possibili effetti pregiudizievoli per l’efficacia e l’efficienza dei controlli derivanti dalla compresenza nello stesso organo di funzioni di amministrazione e controllo. A fini di vigilanza, grazie all’articolo 52 del TUB il quale ha predisposto un meccanismo di collegamento funzionale con l’autorità di vigilanza :” il CS informa senza indugio la BdI di tutti gli atti o i fatti, di cui venga a conoscenza nell’esercizio dei propri compiti, che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme disciplinanti l’attività bancaria. A tali fini lo Statuto adottato della banca, indipendentemente dal sistema di amministrazione e controllo adottato, assegna all’organo che svolge la funzione di controllo i relativi compiti e poteri”. L’organo con funzione di controllo può avvalersi delle strutture e delle funzioni di controllo interne all’azienda per svolgere e indirizzare le proprie verifiche e gli accertamenti necessari. A tal fine riceve da queste adeguati flussi informativi periodici o relativi a

loro per almeno un componente e sono di regola composti da consiglieri non esecutivi/indipendenti. I lavori di ciascun comitato sono coordinati da un presidente scelto tra i componenti indipendenti. Il governo societario comprende una serie di regole, relazioni, processi e sistemi aziendali, mediante i quali la società è diretta e controllata. Tra le regole rientrano le leggi dello Stato, le regole aziendali interne, gli stakeholders, le risorse umane, i fornitore, i clienti, la collettività, lo Stato, ovvero coloro che detengono un interesse diretto o indiretto nella società

7. Modello tradizionale? (Pag 13) art 2409 CC

In Italia, prima della Riforma Vietti (2003), l’unico modello di governance applicabile era quello tradizionale. La riforma ha introdotto la possibilità di utilizzare anche il modello monistico e dualistico. Nel caso di silenzio dello Statuto vige la forma del modello tradizionale. Nel sistema tradizionale è prevista la presenza di:

  • CdA con funzioni amministrative
  • CS con funzione di controllo L’assemblea dei soci:
  1. Nomina il CdA: il quale al suo interno contiene la funzione
  • Supervisione strategica: svolta dai consiglieri non esecutivi
  • Funzione di gestione: svolta dai consiglieri esecutivi L’organo amministrativo può essere composto da un singolo soggetto o da molteplici soggetti, in questo caso si parlerà di consiglio Inoltre, il CdA può individuare organi e comitati di sua nomina o previsti per legge che completano ed integrano le funzioni di governance aziendale.
  1. Nomina il CS: il Collegio Sindacale svolge in modo autonomo e indipendente l’attività di controllo sulle attività dell’amministrazione
  2. Conferisce l’incarico al Revisore dei Conti Tale modello risulta particolare per 3 motivi essenziali:
  • Il controllo diretto dell’Assemblea sul CdA
  • Il controllo diretto dell’Assemblea sul CS
  • Separazione tra organo di funzione strategica e organo di funzione di controllo Nel modello tradizionale inoltre l’Assemblea dei soci ha le seguenti funzioni:
  • Approva il bilancio
  • Nomina gli amministratori, CS e il suo presidente, conferisce l’incarico al revisore legale
  • Determina il compenso degli amministratori e dei sindaci
  • Delibera sull’azione di responsabilità degli amministratori
  • Approva il regolamento assembleare

8. Consiglio di Sorveglianza nel modello dualistico

Modello dualistico, di stampo tedesco. Ha all’interno del consiglio di sorveglianza un revisore contabile che deve essere iscritto nel registro dei revisori contabili. Nel modello tradizionale questo revisore è esterno e quindi gode di più ampia operatività. Purché una società possa adottare un modello dualistico essa deve prevedere nello statuto le seguenti cose:

  • Il consiglio di sorveglianza può procedere in qualsiasi momento ad atti di ispezione o controllo. I poteri di ispezione sono esercitati in modo da assicurare l’efficiente svolgimento dell’operatività della banca. Ove la funzione di supervisione strategica sia assegnata al consiglio di sorveglianza o in

caso in cui il numero dei componenti del Collegio di Sorveglianza sia superiore a sei, lo Statuto deve prevedere che detti poteri ispettivi siano esercitati da un comitato costituito all’interno dell’organo

  • I consiglieri di sorveglianza possono richiedere ai consiglieri di gestione notizie sull’andamento delle operazioni sociali o su determinati affari, definendo modalità di esercizio di tale prerogativa idonee a non intralciare l’operatività aziendale
  • Almeno un componente del consiglio di sorveglianza partecipi alle riunioni del consiglio di gestione. Tale partecipazione, strettamente connessa allo svolgimento delle funzioni di controllo, va riservata ai soli componenti del comitato per il controllo interno, o in mancanza, ai soggetti più idonei a svolgere tale funzione in relazione ai requisiti di professionalità ed indipendenza posseduti
  • La revoca dei componenti del consiglio di sorveglianza, ovvero dei soli componenti del comitato per il controllo interno ove costituito, sia debitamente motivata. In tale modello l’amministrazione dell’azienda viene ripartita tra due organi differenti: Amministrazione= Consiglio di Gestione + Consiglio di Sorveglianza
  • Il Consiglio di Sorveglianza: con funzione di controllo, viene definito dall’assemblea degli azionisti Se previsto nell’organigramma aziendale tale consiglio può avere anche una funzione di Supervisione strategica a parte la funzione di controllo attribuita per natura
  • Consiglio di Gestione nominato dal Consiglio di Sorveglianza. Il consiglio di Gestione è una mera espressione di volontà dell’organo adibito al controllo. Un consigliere di sorveglianza deve essere iscritto nel registro dei revisori contabili e se questo è composto da più di sei componenti è obbligatorio costituire un Comitato di controllo interno. Il presidente del consiglio di sorveglianza è nominato anche esso dall’Assemblea. Le deliberazioni sono votata a voto palese a maggioranza con prevalenza del voto del Presidente per la nomina e la revoca del consiglio di gestione. I componenti del consiglio di sorveglianza sono soggetti alle stesse regole di decadenza del CS. La gestione spetta esclusivamente al Consiglio di Gestione che propone un piano strategico che deve essere prima approvato dal Consiglio di Sorveglianza e successivamente messo in atto. Il comitato per il controllo interno (all’interno del Consiglio di Sorveglianza se è più numeroso di 6) deve essere composto da personalità che godono di indipendenza, professionalità e competenza. Il presidente del consiglio di sorveglianza qualora ricopra il ruolo di supervisione strategica non può far parte del comitato per il controllo interno. Almeno 3 dei componenti del Consiglio di Sorveglianza devono possedere idonei requisiti di professionalità previsti per i Sindaci, i restanti possono possedere i requisiti di professionalità previsti per gli esponenti con carica non esecutiva. Non possono ricoprire tali incarichi i coniugi, i parenti e gli affini sino al 4° grado o qualsiasi altro rapporto di natura patrimoniale che ne comprometta l’indipendenza. I consiglieri sia di sorveglianza che di gestione devono possedere i requisiti di indipendenza e il presidente deve possedere i requisiti di professionalità come quelli richiesti dal presidente del CdA. Nel modello dualistico l’assemblea:
  • Nomina e revoca i consiglieri di sorveglianza
  • Determina il loro compenso se non definito dallo statuto
  • Delibera sull’esercizio delle azioni di responsabilità dei consiglieri di sorveglianza
  • Delibera sulla distribuzione degli utili

9. CdA, le deleghe specifiche nel modello monistico

Il modello monistico è così denominato per la presenza di un solo organo, il CdA che svolge sia i compiti dell’organo con funzione di supervisione strategica che quello con funzione di gestione. Il CdA nomina il comitato per il Controllo sulla Gestione che invece svolge le funzioni di controllo. I componenti del comitato sono indipendenti dal CdA e non sono coinvolti nella gestione. Nel caso ricorso al mercato dei capitali il numero minimo dei componenti del comitato deve essere 3 e almeno uno di loro deve essere iscritto al registro dei revisori contabili. I membri devono godere di indipendenza, competenza e professionalità, nonché essere idonei a ricoprire la mansione.

Si ampliano le aree di intervento della funzione compliance:

  • Normativa in materia di dati personali
  • Normativa sulla sicurezza
  • Normativa fiscale
  • Partecipazione e valutazione ex ante dei nuovi progetti e modelii
  • Formazione delle risorse umane Si ampliano anche le attività della funzione compliance
  • Misurazione del rischio di conformità secondo un approccio risk based
  • Individuazione di procedure idonee per la valutazione del rischio
  • Verifica dell’efficacia dei modelli e della procedure per la prevenzione del rischio
  • Comunicazione diretta con altri organi di controllo
  • Proposta di modificazione dei processi nel caso non sia presidiati correttamente il rischio Oggi, tutta la disciplina inerente allo SCI si trova nel 20° aggiornamento del 21/11/2017 nella sezione 3. Secondo questa normativa i responsabili della funzione di controllo devono:
  • Possedere requisiti di professionalità
  • Sono collocati secondo una scala gerarchica, il responsabile della funzione compliance è dipendente dell’organo con funzione di gestione o supervisione strategica
  • Non hanno responsabilità dirette in aree operative
  • Sono nominati e revocati dall’organi di supervisione strategica sentito l’organo di controllo
  • Sono in stretta collaborazione con l’organo di supervisione strategica L’ultima normativa importantissima è la direttiva dell’EBA del 2017 dove sono contenuti i requisiti per la funzione compliance, chiamati linee guida in cui ha allegato una matrica a doppia entrata chiamata annex 1 dove elenca i principali key funcions holders:
  • Il personale della FC deve essere qualificato in termini di conoscenza e competenza
  • Deve avere una politica ben documentata da comunicare a tutto il personale
  • Deve istituire un processo per valutazione l’aggiornamento e le modifiche della normativa
  • Deve consigliare all’organo gestionale le misure per assicurare l’osservanza delle leggi
  • Deve valutare il possibile impatto di un nuovo contesto normativo
  • Deve avere un procedura di monitoraggio adeguata
  • Deve collaborare con la funzione RM
  • Deve controllare nuovi prodotti e nuove procedure rispetto al rischio compliance Nel 2021 l’EBA ha pubblicato un prospetto aggiornato delle linee guida per inserire i rischi ESG, i rischi connessi al riciclaggio di denaro e finanziamento del terrorismo

13. Processo di compliance e le sue fasi?

Cominciando dal fatto che il la gestione del rischio di conformità (uno dei rischi con cui lotta la funzione di compliance) si fonda sulla responsabilità individuale diffusa di ogni individuo, indifferentemente dalla carica ricoperta, in tale modo minimizzando la presenza di errori di conformità. Il processo di compliance si basa su un approccio risk-based verificando che le procedure interno siano adeguate a prevenire il rischio compliance, garantendo la conformità alle normative. Il processo di compliance è composto da un insieme di attività nell’ambito della gestione operativa il cui scopo è quello di creare valore per l’azienda. Il processo è considerato come un momento chiave sia per la gestione del compliance risk che per tutte le altre aree di business dell’intermediario. Le fasi del processo sono: 1- Pianificazione: si tratta della produzione di un piano di lavoro annuale secondo un approccio risk- based, nel quale sono inserite tutte le principali attività da svolgere e sviluppare nell’esercizio. Tale piano contiene:

  • Valutazione annuale dell’adeguatezza del complessivo sistema di gestione del rischio di non conformità
  • La programmazione degli interventi ritenuti necessari, quali ridefinizione o integrazione delle politiche per la gestione del rischio compliance
  • Valutazione dell’evoluzione normativa che può modificare l’esposizione al rischio
  • Aggiornamento degli strumenti e delle regole operative necessarie a adempiere agli obblighi normativi 2- Consulenza: si tratta del supporto nell’applicazione della legge e nell’individuazione dei comportamenti sanzionati e del relativo rischio e consiste in:
  • Analisi interpretative delle fonti normative esterne e delle ricadute sui processi operativi aziendali
  • Supporto alla funzione dell’organizzazione nell’aggiornamento dei processi
  • Valutazione dei rischi ex-ante riferendosi a progetti innovativi
  • Valutazione del livello di formalizzazione dei processi aziendali in riferimento al divario tra quanto implementato nella propria organizzazione tra quanto implementato e i presidi necessari
  • Sviluppo degli strumenti necessari
  • Valutazione dell’adeguatezza delle attività svolte dalle strutture organizzative L’attività di consulenza può essere di 2 tipi:
  1. Consulenza progettuale: ossia la consulenza nella gestione del cambiamento in termini di nuove normative e/o di nuovi prodotti volta a verificare l’adeguatezza dei presidi di governo prima che vengano adottati
  2. Consulenza occasionale: volta a fornire pareri in merito a questioni di natura normativa richiesti da altri organi o dai vertici aziendali 3- Linee guida: questa fase consiste nello sviluppo dei documenti finalizzati ad applicare correttamente le normative di riferimento, quindi sviluppare attività di supporto a comprendere la corretta applicazione delle norme e prevede:
  • Analisi delle norme e degli aggiornamenti normativi di competenza dell’area compliance
  • Valutazione degli impatti
  • Produzione o aggiornamento della policy, manuali e codici di condotta
  • Altre comunicazioni sulla corretta interpretazione delle norme 4- Formazione: pianificazione della formazione del personale al fine di aggiornarli sulle normative vigenti e mettere al corrente lo stesso del rischio compliance che ne deriva e i comportamenti da adottare 5- Identificazione, misurazione e valutazione: si tratta dell’identificazione, misurazione e valutazione dei rischi di compliance nel contesto dell’intermediario. In questa fase bisogna analizzare che le procedure interne siano coerenti ed adeguate rispetto all’operatività della banca sia attraverso delle operazioni di tipo top-down che di tipo bottom-up. È definita dalle seguenti attività:
  • Declinazione delle normative sui processi
  • Valutazione del rischio inerente, considerando il peso/significatività e la frequenza/probabilità
  • Definizione degli indicatori di rischio
  • Valutazione delle azioni di mitigazione e identificazione degli interventi risolutivi
  • Valutazione del rischio residuo Ogni rischio residuo se rimane indicativo di condizioni di incertezza al termine della fase suddetta può essere sia accettato dal CdA sia corretto attraverso azioni di miglioramento/correttive 6- Monitoraggio: tale fase consiste nel monitoraggio degli indicatori di rischio e al presidio dei risultati ottenuti con le attività di mitigazione. Le banche non hanno possibilità di azzerare completamente il rischio compliance e ciò comporta la necessità di un processo di monitoraggio accurato. La fase di monitoraggio viene svolta attraverso l’utilizzo di indicatori di carattere quantitativo quali numero di reclami, numero di sanzioni, numero delle transazioni che hanno violato la normativa e numero di indagini. Il monitoraggio inoltre è necessario per verificare che i vertici aziendali abbiano preso in considerazione le azioni correttive dell’organo di compliance. Questa fase si caratterizza dalle seguenti attività:
  • Monitoraggio sistemico: accertare periodicamente lo stato di avanzamento delle azioni correttive evidenziando eventuali ritardi o inadempimenti

potrebbe essere utilizzato per banche di piccole dimensioni con limitata complessità

territoriale dove il compliance officer si avvale dei flussi di informazioni e della

capacità di comunicazione e relazione con gli altri organi

  • Misto:
  1. Esternalizzazione funzione compliance L’esternalizzazione è possibile solo se la banca è una less significant e rientra all’interno del quarto gruppo all’interno del processo SREP. In ogni caso l’esternalizzazione della funzione è fortemente sconsigliata poiché lo stesso organo di compliance è un ruolo strategico e chiave per l’intermediario. L’esternalizzazione può essere sia all’interno del gruppo bancario sia esternalizzata a società terze. Purché tale esternalizzazione sia valida bisogna ricevere una conferma da parte della BdI o dalla BCE.
  • Esternalizzazione all’interno dello stesso gruppo bancario: è possibile però prima ci deve essere comunque l’autorizzazione della BdI o dalla BCE. Gli organi che hanno definito l’outsourcing della funzione devono essere consapevoli che non possono più delegare le proprie responsabilità internamente.
  • Esternalizzazione a soggetti terzi:circolare 285/2013 definisce tale possibilità della funzione compliance solo se l’intermediario è un less significant o se è classificato all’interno della categoria quattro del processo SREP. La richiesta va predisposta a BdI o alla BCE qualora sia sotto il controllo della stessa e entro 60 giorni si avrà una risposta della possibilità o meno di esternalizzare tale funzione o addirittura si avrà un divieto. L’intermediario deve assicurarsi che esternalizzando la funzione i responsabili esterni dispongano di adeguate competenze in termini di professionalità e affidabilità e che vi sia un adeguato flusso di informazioni.
  1. Chief compliance officer (pag 19) Prima di parlare dello CCO e quindi dei modelli organizzativi della funzione compliance è degno di nomina il fatto che il modello scelto dalla compliance, secondo l’approccio risk based aproach, come tutti i sistemi dello SCI, devono essere proporzionati alla dimensione ed alla complessità dei singoli intermediari, cui spetta il compito di individuare le formule organizzative e operative. La funzione compliance può essere di 3 tipi:
  • Modello accentrato: maggiormente adottato dalle banche di media dimensione. Prevede la costituzione di una unità organizzativa autonoma composta dal responsabile di compliance è uno suo staff. Se si parla di un gruppo bancario, ogni banca del gruppo avrà un proprio referente di compliance subordinato al responsabile della capogruppo. Il referente come il CCO deve essere indipendente dalle altre business unit, autorevole e professionale. Il referente può intervenire direttamente sull’attività e le operazioni svolte dalla funzione appartenente alla sua banca ma la sua attività deve essere condivisa con il responsabile della capogruppo e coerente con le linee guida da quest’ultimo stabilite. La funzione compliance della capogruppo redige il compliance plan e la relazione annuale sulla base dei flussi informativi scambiati tra il responsabile principale e tutti i referenti appartenenti alle banche o alle società sottogruppo. In una banca di medie dimensione la numerosità dello staff dipende dalle linee di business messe in atto dalla banca. Il principio che è alla base di tale comportamenti è lo scambio dell’informazione continuo. Gli organi aziendali di ogni controllata devono essere a conoscenza delle procedure e dei profili di rischio di conformità assunti da ogni banca o società sottogruppo e rimangono responsabili delle loro politiche di gestione del rischio.
  • Modello decentrato: prevede la funzione compliance, presieduta dal Compliace officer e da risorse presenti in altre unità aziendali. Ogni unit organizzativa della capogruppo deve possedere un proprio referente di compliance. Affinché ciò funzioni è necessario che i compiti e le responsabilità siano ben definiti da un regolamento interno e da specifici accordi di servizio. La responsabilitò rimane comunque in capo al CCO. Quest’ultimo assegna ai suoi referenti specifiche linee guida per svolgere le loro operazioni. I referenti hanno il compito di svolgere le attività assegnate direttamente e indirettamente (in collaborazione) dalla funzione compliance principale e devono rispettare il principio di collaborazione e di scambio di informazioni.
  • Modello misto: caso di banche o gruppi bancari molto grandi dove ogni area di business e ogni banca sottogruppo ha una propria Unit di compliance autonoma. I Compiti e le responsabilità del CCO: Il CCO deve possedere 3 requisiti da quanto previsto dalla BdI:
  • Professionalità: il CCO deve avere adeguate conoscenze, competenze ed esperienza nell’ambito compliance poiché essendo il rischio compliance un rischio che colpisce trasversalmente l’azienda il CCO deve essere in grado di riconoscere la fonte di tale rischio
  • Indipendenza: il CCO non deve avere responsabilità nei confronti di altre aree aziendali in modo da non definire possibili conflitti d’interesse. L’indipendenza deve manifestarsi anche in termine di redistribuzione, ossia lo stesso deve percepire incentivi o premi che non siano correlati con il suo incarico ma con la performance aziendale così da evitare ulteriormente conflitti d’interesse.
  • Autorevolezza: per avere tale requisito il CdA ed il CS predispongono un mandato nei confronti dello stesso per poi portare avanti il suo incarico. A parte questi requisiti il CCO deve godere di una molteplice numerosità di soft skills che lo aiutino nella complessa mansione. I compiti dello CCO non delegabili sono:
  • Redazione del compliance plan
  • Redazione della relazione annuale per la BdI
  • Redazione della relazione annuale per la CONSOB
  • Rapporti e comunicazione con l’autorità di vigilanza
  • Rapporti con i responsabili dello SCI
  • Relazioni con i comitati
  • Consulenza agli altri organi aziendali
  • Partecipazione dei lavori del Board e di Comiteti Interni di sorveglianza degli stessi
  • Verifica coerenza delle politiche di retribuzione e sistema incentivi
  1. Compliance risk assessment (pag 27) + rischio inerente e residuo Pianificazione, Consulenza, linee guida, formazione, monitoring, reporting. Il processo di compliance risk assessment si concretizza nella quinta fase del processo di compliance, più nello specifico nella fase di identificazione, misurazione e valutazione del rischio. È un processo di self evaluation posto in essere dalla funzione compliance durante la fase di gestione del rischio. Questa fase deve essere coerente con il RAF e viene svolta secondo un approccio bottom-up. L’obiettivo è quello di individuare il rischio inerente e il relativo rischio residuo. La fase di risk assessment è “un processo trasversale e polifuzionale che consta di presidi organizzativi e operativi atti ad evitare disallineamenti con l’insieme delle regole esterne ed interne”. Questa procedura è preceduta dall’impact analysis la quale rappresenta una fase il cui obiettivo è raccogliere il maggior numero di informazioni possibili dalla normativa al fine di trasformarla in una serie di principi e requisiti.
  • Impact analysis: In primo luogo bisogna distinguere le normative core da quelle non core. Con normativa core intendiamo la normativa dove è previsto il massimo coinvolgimento della funzione compliance. Nella normativa non core invece è quella dove il coinvolgimento della compliance è inferiore. Nella prima il principale owner è la funzione compliance mentre nella seconda vi sono due responsabili, la funzione compliance e le funzione specialistiche incaricate. Quando si parla di normativa non core bisogna avere dei pre requisiti importantissimi che consentano una comunicazione efficiente tra la funzione compliance e la funzione specialistica:
  1. Segnalazione nel caso si verifichi un’anomalia di processo alla FC
  2. Informativa su eventuali mancanze o gap alla FC
  3. Reporting semestrale nel quale il presidio specialistico comunica a FAC l’attività svolta
  4. Attestazione annuale di conformità, dove il presidio specialistico assicura e garantisce l’esecuzione delle attività. A seguito viene costruita una Rule-map, dove vengono inserite tutte le normative e la rispettiva rilevanza e responsabile. Attraverso questa mappatura è possibile avere sotto controllo il perimetro di azione della funzione specialistica e della FC. La classificazione della rilevanza va svolta secondo 3 principi rischi:

1- Approccio binomiale In questo modello c’è la previsione di 2 tipi di rischi (rischio atteso e inatteso). PERDITA ATTESA (fase 1)=In primo luogo c’è la mappatura degli eventi riconducibili al compliance risk e successivamente, per ognuno di essi viene individuato un Exposure indicator. Tale indicatore rispecchia il rischio a cui l’intermediario è esposto che può essere:

  • Indicatore di ricavi
  • Indicatore di margine di interesse, di intermediazione o operativo
  • Indicatore di volumi A ogni tipologia di rischi viene associata una certa probabilità di accadimento. Sulla base di tale probabilità e del rischio specifico viene calcolata la perdita media Loss Given Event o il tasso di perdita Loss Given Event Rate. Stabilito questo si procede con il calcolo della perdita attesa e della perdita inattesa. In particolare la perdita attesa (EL) può essere calcolata come il prodotto tra EI (exposure indicator), la probabilità di accadimento (pe) e il loss given event rate (lger) ovvero EL=EIPELGE Tralasciando le informazioni fornite dall’indicatore di esposizione al rischio e quindi il legame tra l’indicatore di esposizione al rischio e il tasso di perdita medio la formula diventa EL=PELGE (perdità attesa=Probabilita accadimentoPerdita media dell’evento) PERDITA NON ATTESA= nel caso di una funzione binomiale la media e la deviazione standard della distribuzione di probabilità assumono i seguenti valori Media=Probabilità accadimentoPerdita media dell’evento Basterebbe fare la devianza standard che è uguale a D=RAD(PE(1-PE) D= devianza standard RAD=Radice quadra PE=Probabilità accadimento 2- Approccio di mercato: In tale modello si pone l’obiettivo di studiare il gap che intercorre tra la perdita comunicata al mercato a seguito di un evento ricompreso nella fattispecie di compliance risk (es. sanzione) e la relazione dei prezzi delle azioni. In questo caso si parla di rischio reputazionale e non di conformità. Tale perdite possono essere date da diversi fattori:
  • Perdita dei clienti o di partner commerciali
  • Incremento del costo della liquidità e delle risorse finanziarie
  • Aumento dei costi dovuti al rafforzamento di processi e funzioni Questo tipo di analisi serve per un’analisi solo nel periodo in cui c’è un comportamento anomalo del prezzo di un titolo. Questo periodo anomalo viene definito periodo t. Il rendimento del titolo è dato dalla seguente formula: Rt=Kt+et Rt= rendimento effettivo in tempo t Kt= rendimento tipico del titolo nel periodo t Et=componente inattesa o anomala Come risultato et=Rt-Kt La sommatoria delle componenti inattesa o anomala ci da il CAR (cumulative abnormal return) il quale ci indica la variazione totale data da un comportamento anomalo in un certo periodo. Secondo il modello se non vi sono anomalie date dal compliance risk il CAR= I modelli più spesso utilizzati sono il CAPM e APM 3- Approccio earnings at risk Questo approccio permette di calcolare l’impatto sul risultato economico di una specifica unità di business a seguito di un comportamento non conforme alla normativa. Come prima cosa vengono raccolti i dati storici del risultato economico di una certa unità aziendale riconducibili alla fattispecie del compliance risk e in situazione normale. Il risultato viene corretto per la perdita attesa riportata al conto economico (ovvero, nel caso di rischio di conformità, la perdita reputazionale). Il modello EaR non è un modello statistico probabilistico. Presenta numerosi:
  • Vantaggi: è un indicatore estremamente semplice e rappresenta il rischio complessivo per una determinata area di business. Facilmente calcolabile basandosi su dati contabili
  • Svantaggi: difficolta di individuare il risultato dato direttamente dal compliance risk in caso di perdita. Per questo motivo lo EaR è considerato uno strumento di supporto ma non come unico strumento di gestione del rischio. 4- Analisi di scenario: è una analisi che si basa su probabili eventi futuri negativi o positivi a seguito di variazioni di alcune variabili. Le analisi di scenario permettono di fronteggiare un possibile evento e di essere tempestivamente pronti a qualcosa che potrebbe accadere. Nel caso di rischio di conformità l’estrazione dello scenario può avvenire secondo diverse tecniche:
  • Approccio bottom-up: attraverso un brainstorming i partecipanti di diverse aree aziendali ipotizzano le possibili eventualità
  • Approccio top-down: secondo cui i possibili scenari siano generati direttamente dalla Alta Direzione Il risultato di una tale analisi sono soggetti alla soggettività del soggetto analizzante e per questo motivo possono essere oggetto di discussione.
  1. Key risk indicators (pag31) Sono indicatori di semplice formazione. Il loro monitoraggio permette di valutare la presenza di andamenti anomali o potenziali eventi di mancata conformità. Il controllo di tali indicatori può essere fatto a distanza e in via preventiva. Come risultato di tale analisi tale indicatori possono:
  • Orientare il controllo e l’operatività verso le aree più problematiche
  • Monitorare le aree problematiche in modo da agire tempestivamente
  • Può avere informazioni predittive a supporto delle analisi qualitative svolte
  • Può esercitare un amggiore controllo e copertura
  • Può migliorare l’efficienza del processo di valutazione. La creazione di tale indicatori richiede la definizione di uno schema base in cui vengono contestualizzati tutti gli indicatori divisi per caratteristiche ed obiettivi. Per ogni indicatore devono esserci informazioni dettagliate sia riguardo la sua tipologia sia riguardo i dati input di ricerca necessari. Tale schematizzazione risulta rilevante al fine di standardizzare ogni eventuale processo. Le variabili prese in considerazione per la costruzione dei KRI sono:
  • Area di business
  • Perimetro normativo
  • Obiettivo
  • Descrizione numeratore e denominatore
  • Codice dell’indicatore
  • Coefficienti di relazione anomalia/normativa identificando il livello di rilevanza nell’indicatore
  • Frequenza
  • Granularità, ovvero il livello di dispersione dei dati necessari per la costruzione del KRI Il risultato di ogni indicatore è relativo ad uno specifico holding period e per ogni KRI deve essere determinato un bechmark o valore soglia oltre il quale è necessario uno specifico processo di controllo. Ovviamente il benckmark può essere definito sia internamente sia dalle stesse autorità di vigilanza. È necessario effettuare controlli periodici di questi indicatori al fine di contestualizzare per il periodo di riferimento. I KRI possono distinguersi in 3 grandi categorie
  1. Indicatori di esposizione: indicano l’andamento delle grandezze patrimoniali ed economiche da cui possono essere identificati eventi e normative rilevanti
  2. Indicatori di anomalia: identificano eventi critici che si stanno manifestando
  3. Indicatori di perdita: identificano le perdite a conto economico a seguito di sanzioni pecuniarie.