Il Compliance Risk Assessment

Come accennato nel paragrafo precedente nell’ambito del processo di compliance, la funzione di conformità deve quantificare il rischio di inosservanza delle norme e di danni alla reputazione. Per identificare i rischi di non conformità, la Funzione utilizza tecniche qualitative e semi qualitative condivise sia con la funzione di Internal Audit che con quella di Risk Management.

Per l’individuazione delle fattispecie di rischio di compliance, oltre all’esame delle procedure coinvolte, possono essere utilizzati altri metodi, quali interviste sistematiche, questionari, informazioni di settore e schede di indagine qualitativa nelle quali classificare la quantità del rischio e la qualità del processo di compliance risk management33.

33

Cfr. M. Anolli, F. Rajola, “Il rischio di reputazione e di non conformità, strumenti e metodi per la governance e la gestione operativa”, Bancaria Editrice 2010

48

Il compliance risk assessment è dunque un’attività che richiede una molteplicità di competenze e la condivisione dei risultati. Per tutto il personale coinvolto, proprio la condivisione dei dati è un momento fondamentale in cui ciascuno prende consapevolezza del ruolo e delle responsabilità in termini di assunzione dei rischi.

Tutto il processo si snoda attraverso cinque fasi principali:

1. Pre assessment, tramite il quale viene individuato il rischio inerente o lordo;

2. Valutazione dell’adeguatezza dei controlli in essere; 3. Determinazione del rischio residuo o netto;

4. Gap analysis e predisposizione degli interventi correttivi;

5. Valutazione dell’efficacia dei controlli e rideterminazione del rischio residuo.

Nella fase di pre assessment, già accennata precedentemente, vengono raccolte tutte le informazioni necessarie derivanti dall’analisi della normativa sottostante.

In particolare si procede all’analisi delle fonti normative di riferimento (tenendo in considerazione anche i requisiti e le sanzioni) in collaborazione con la funzione Legale o altre funzioni specialistiche (se si tratta di normative particolari) fino ad un livello di dettaglio coerente con gli obiettivi della misurazione. Vengono quindi analizzate le implicazioni che le regole avranno sull’organizzazione interna ed infine si identificano i rischi emergenti dai processi.

Ad ogni rischio di non conformità derivante da un requisito normativo si attribuisce un valore potenziale, detto rischio inerente o rischio lordo. Per attribuire tale valore vengono presi in considerazione la frequenza (o probabilità) di accadimento dell’evento rischioso che può influire negativamente sulla conformità e l’impatto (o peso) economico e patrimoniale in caso di accadimento dell’evento stesso. Normalmente, in questa fase della valutazione non si tiene conto dei controlli o altre misure di mitigazione già poste in essere.

49

In mancanza di serie storiche, la frequenza dell’accadimento dell’evento rischioso può essere determinata prendendo in considerazione parametri, quali:

- Frequenza operazioni coinvolte - Tipologia di clientela coinvolta - Canale utilizzato per le operazioni

- Grado di automazione delle operazioni coinvolte Per la determinazione del peso, potrebbe essere valutato:

- Il valore delle operazioni coinvolte

- La tipologia e l’entità delle sanzioni previste

- Il livello di esposizione dell’impresa per la normativa in questione

Considerando entrambe le dimensioni per ciascun rischio si passa all’assegnazione di un valore qualitativo ed, eventualmente, un punteggio (score). Nel valutare la rischiosità inerente, in genere si tende a privilegiare il peso dell’evento rischioso, che ne determina l’appartenenza a una determinata classe di rischio, rispetto alla frequenza dell’accadimento che ne determina il punteggio attribuito a quel rischio nell’ambito della classe.

Di seguito, nella Tabella 1 si fornisce un esempio di come potrebbe essere assegnato lo score al rischio inerente:

50

Tabella 1 – Rischio Inerente

Fonte: CeTIF, Workshop “La misurazione del compliance risk, approcci metodologici”, Milano 2009 Elemento importante da considerare in questo ambito è l’eventuale presenza della componente reputazionale del rischio, conseguente all’evento primario di non conformità.

Il trattamento di questa componente dipende dalle possibili conseguenze e deriva dalla specificità di trattamento al quale è soggetta la categoria di rischio primario. In particolare, l’elemento reputazionale può essere:

- Solo rilevato ed evidenziato separatamente (ad esempio tramite l’attivazione di un flag)

- Analiticamente determinato ed evidenziato separatamente

- Analiticamente determinato e trattato insieme al rischio, a condizione che non si perda l’evidenza di tale componente.

Dal rischio lordo si giunge al rischio netto, passando per la valutazione ex ante dei controlli e di tutte le altre misure di mitigazione eventualmente poste in essere al momento della rilevazione. Il giudizio sui controlli riguarda l’adeguatezza degli stessi, ovvero la loro capacità prospettica di mitigare il rischio di non conformità, confrontati con i cosiddetti controlli virtuosi identificati nella fase di pre-assessment. Il giudizio (assimilabile a una

51

percentuale) viene applicato per l’abbattimento del rischio lordo. Un esempio è mostrato nella Tabella 2:

Tabella 2 – Adeguatezza dei controlli

Fonte: CeTIF, Workshop “La misurazione del compliance risk, approcci metodologici”, Milano 2009

I fattori presi in considerazione per determinare l’adeguatezza del controllo possono essere:

- Esistenza di controlli, processi e procedure - Presenza di altri fattori di mitigazione - Ampiezza e qualità dei controlli - Centralizzazione dei controlli

- Il livello di rotazione del personale addetto ai controlli - Livello di formazione del personale addetto ai controlli

Applicando le percentuali di abbattimento si giunge al rischio residuo, che rappresenta la componente di rischio non presidiata dall’impresa.

La semplice formula utilizzata per la determinazione del rischio residuo nei processi di risk assessment potrebbe essere la seguente:

Rischio residuo = Rischio inerente × (1 – controllo/100)

Il valore così ottenuto collocherà il rischio residuo all’interno di una classe di rischio, per la quale verranno determinate le azioni di tipo correttivo da attuare. Un esempio delle classi di rischio residuo per adeguatezza dei controlli possiamo vederlo nelle Tabella 3 e Tabella 4:

52

Tabella 3 – Classi di rischio residuo per adeguatezza dei controlli

Fonte: CeTIF, Workshop “La misurazione del compliance risk, approcci metodologici”, Milano 2009

Tabella 4 – Valutazione del rischio residuo

Fonte: CeTIF, Workshop “La misurazione del compliance risk, approcci metodologici”, Milano 2009 A seguito di tale valutazione può emergere la necessità di definire opportuni indicatori di rischio che consentono di tenere sotto controllo la frequenza di accadimento degli eventi rischiosi maggiormente significativi e di anticipare il possibile verificarsi di tali eventi34.

La quantificazione in un dato, o in un set di dati, che monitorano il rischio di compliance assume un’elevata rilevanza almeno per due motivi:

- L’aggregazione in pochi dati permette di avere una consapevolezza immediata del livello di rischio da parte dei vertici aziendali;

53

- Può essere utile per individuare una corretta allocazione del capitale economico alle diverse unità organizzative e un importante fattore correttivo agli incentivi per l’assunzione del rischio di compliance.

Tuttavia, la misurazione del rischio di compliance presenta parecchi problemi legati alla natura dello stesso. L’entità può variare a seconda del momento in cui si manifesta, e può avere effetti più o meno gravi. Inoltre, le conseguenze negative sul capitale economico derivanti da sanzioni e perdite dirette e indirette attribuibili esclusivamente alla non conformità sono di difficile individuazione, in quanto spessissimo si sovrappongono ad altre manifestazioni del rischio.

La quantificazione autonoma risulta particolarmente ostica anche in relazione al fatto che non ci sono dati di mercato disponibili e, soprattutto, in quanto spesso a fronte di una manifestazione di rischio “primario” è spesso associata una “non conformità”. Rischi di credito e rischi di mercato in primis, sono degli ottimi esempi di rischi che possono essere generati da una non conformità.

Il monitoraggio degli indicatori di rischio può essere effettuato dalla Compliance mediante tecniche di monitoraggio a distanza, approcci di risk self assessment o tramite interventi di verifica operati sia direttamente sia per tramite della funzione di revisione interna.

Il controllo a distanza viene effettuato tramite l’estrazione, l’elaborazione e l’analisi continuativa di dati provenienti dai diversi archivi aziendali e risulta particolarmente utile per razionalizzare e completare la valutazione del sistema dei controlli interni a presidio del rischio di non conformità.

Questa attività si serve dei cosiddetti Key Risk Indicator (KRI), classificabili in tre diverse tipologie:

- Indicatori di esposizione: indicano l’andamento di grandezze patrimoniali ed economiche da cui possono essere identificati eventi e normative rilevanti per l’azienda.

- Indicatori di anomalia: identificano situazioni critiche legate al possibile non raggiungimento degli obiettivi di presidio della norma.

54

- Indicatori di perdita: segnalano le perdite subite a seguito di sanzioni derivanti dal mancato rispetto delle norme.

Affinché tali indicatori supportino l’identificazione dei rischi, è necessario che vengano considerati in termini relativi rispetto a un valore soglia, che rappresenta il limite, o l’intervallo, oltre il quale la situazione osservata dalla funzione Compliance necessita l’attivazione di un processo di approfondimento in merito. Essi fungono dunque da early warning.

Sempre nell’ambito dei controlli a distanza, risulta utile il contributo apportato dalle altre unità organizzative, le quali, attraverso un processo di self risk assessment, possono contribuire all’individuazione di rischi di non conformità. Il self assessment risponde anche ad altri obiettivi altrettanto importanti sempre in un’ottica di mitigazione del rischio di compliance: si crea una cultura della responsabilità e della consapevolezza delle conseguenze dei rischi, vengono individuati i punti di debolezza e criticità nei vari processi al fine di un miglioramento degli stessi.

Affinché il processo di self assessment sia di successo è importante che venga coinvolto del personale specializzato al fine di individuare i punti critici nell’ambito dell’analisi dei rischi e dei processi. Il coinvolgimento dei vertici aziendali e della funzione di Internal Audit risultano altresì cruciali per un valido processo di self assessment, il cui output principale è rappresentato dalla cosiddetta Compliance Risk Matrix.

Si tratta di una tabella a doppia entrata nella quale sono raccolte e periodicamente aggiornate informazioni quali:

- Il riferimento normativo che può dare origine a non conformità - Il requisito, ovvero il comportamento previsto dalla norma

- Le sanzioni applicabili in caso di mancata osservanza del requisito

- I processi e le procedure sui quali il rischio di non compliance può impattare

- La funzione o l’unità organizzativa di riferimento

- La valutazione del rischio inerente e della componente reputazionale - Gli eventuali Key Risk Indicator

55

- Le azioni di mitigazione previste e attuate - La valutazione dell’adeguatezza dei controlli - La valutazione del rischio residuo

- La descrizione delle azioni correttive

Partendo dai dati contenuti nella matrice, per quei controlli risultati inadeguati si procede alla stesura del piano di interventi correttivi, predisposto dalla funzione di conformità in collaborazione con le unità coinvolte e le altre funzioni del sistema dei controlli interni.

È opportuno che in questa fase vengano redatti dei report destinati a Organi di Vertice e a funzioni del SCI che presentino gli esiti dell’attività di assessment in forma adeguata alle diverse esigenze.

Con la successiva gap analysis si individuano i valori di rischio residuo che sforano la soglia di tollerabilità definita dall’impresa e che per i quali si determina la necessità di intervenire con azioni correttive volte a ricondurre il valore entro i suddetti limiti. Viene dunque predisposto, in collaborazione con le altre funzioni coinvolte, un piano di intervento sulla base della priorità assegnate a ciascuna correzione.

Nell’ultima fase del processo, il rischio residuo viene rideterminato sulla base dell’efficacia e della continuità di applicazione dei controlli e delle altre misure di mitigazione in essere o predisposti a seguito della gap analysis. Anche in questo caso, si attribuiscono giudizi qualitativi e dei punteggi, riposizionando il rischio residuo all’interno di una classe di rischio.

È solo al termine di questa fase di valutazione ex-post che è possibile individuare l’effettiva esposizione dell’intermediario al rischio di non conformità.

Nella pratica aziendale per le normative per le quali è stata già condotta un’attività di adeguamento, il processo di valutazione del rischio di non conformità è leggermente meno articolato, in quanto nella stima del rischio

56

residuo si tiene conto dell’esistenza dei controlli ed anche della loro efficacia e continuità di applicazione.