In riferimento alla valutazione del rischio di non conformità la funzione compliance opera attraverso tecniche di identificazione, gestione e monitoraggio dei rischi allineate e coerenti con quelle utilizzate nei più comuni processi di risk management e revisione interna; l’importanza rivestita da tali tecniche è primaria
38
business aziendale alla correzione dei processi da cui può scaturire l’eventuale inadeguata applicazione di normative interne ed esterne.
Appare dunque ovvio che il controllo del rischio di compliance, che opera adottando una prospettiva di analisi di processo, è esso stesso un processo, ovvero un insieme di attività che, partendo da un input e aggiungendo valore a questo, produce uno o più output per un cliente, esterno o interno. Per la sua realizzazione il processo di compliance risk assessment definisce compiti, ruoli, responsabilità e si avvale dell’utilizzo di risorse, strumenti, metodologie che danno luogo ad un sistema complesso ed ordinato di “flussi di lavoro”.
La differenza principale che contraddistingue il processo di compliance risk management rispetto al processo di revisione interna è rappresentata dalla tipologia di interventi effettuati che, nel caso della funzione compliance, è di tipo
bottom-up mentre, nel caso della revisione interna, è di tipo top-down. Ciò
significa che, essendo l’obiettivo della revisione interna la valutazione sull’adeguatezza del sistema dei controlli interni nel suo complesso, essa concentra i propri sforzi sul presidio dei rischi complessivamente considerati, e intervenendo con verifiche analitiche solo sui processi ritenuti maggiormente rischiosi.
Il compliance risk assessment, invece, parte proprio la dove la non conformità potrebbe generarsi, ovvero all’interno dei processi operativi aziendali, strutturando così un insieme trasversale e polifunzionale di controlli, presidi organizzativi e operativi atti ad evitare disallineamenti con la totalità delle regole interne ed esterne32; inoltre assume un ruolo di primo piano nella motivazione all’assunzione di responsabilità da parte del personale coinvolto che, prendendo coscienza del proprio ruolo e dei rischi ad esso connessi, coglie l’importanza di
32 Associazione Bancaria Italiana - “Libro bianco sulla funzione compliance”, Bancaria Editrice,
39
seguire comportamenti etici e conformi alle norme33. Se volessimo dare una rappresentazione di sintesi del processo di gestione del rischio di compliance, questa potrebbe essere realizzata nel modo seguente:
(Fonte ABI - “Libro bianco sulla funzione compliance”, 2008)
In termini prettamente operativi l’analisi e la valutazione del rischio di compliance segue i canoni tipici degli interventi di risk assessment, individuando una serie di interventi che si articolano principalmente in cinque distinte fasi, precedute da una fase di pre-assessment:
§ pre-assessment;
1. valutazione del rischio inerente (o rischio lordo), il rischio implicito nella natura stessa dell’attività;
33 Cfr. Anolli M., Rajola F. (a cura di) - “Il rischio di reputazione e di non conformità”, pag. 132,
40
4. Gap Analysis e predisposizione degli interventi correttivi; 5. valutazione di efficacia dei controlli.
La prima fase del processo, quella di pre-assessment, consiste sostanzialmente nella raccolta di una serie di informazioni utili al proseguimento dell’attività di assessment vera e propria, tra cui34:
- l’elenco dei requisiti normativi riconducibili al perimetro presidiato dalla funzione, svolto tramite l’analisi delle diverse fonti normative maggiormente coinvolte (disposizioni, requisiti normativi, sanzioni); - l’analisi delle ricadute sull’organizzazione intera (regole applicative,
processi e procedure impattati, principali interventi di adeguamento); - l’elenco dei rischi sottostanti ai requisiti normativi identificati e delle
possibili sanzioni ad essi associate;
- la valutazione delle competenze disponibili nell’ambito della funzione compliance o da acquisire, anche in prospettiva, all’interno della funzione stessa;
- l’indicazione dei processi e delle procedure nell’ambito dei quali possono manifestarsi gli eventi rischiosi identificati.
La prima fase successiva al pre-assessment è quella relativa alla valutazione del
rischio inerente, in cui i rischi di non conformità ed anche il rischio reputazionale
sono nella maggior parte dei casi identificati e valutati secondo tecniche qualitative, a causa soprattutto della difficoltà di quantificazione dei rischi stessi. L’attribuzione dei valori di rischio inerente ad ogni possibile evento di rischio di non conformità e reputazionale scaturente da una delle attività inquadrate nella fase di pre-assessment può tuttavia essere effettuata anche sulla base di tecniche
34 Cfr. Anolli M., Rajola F. - “Il rischio di reputazione e di non conformità”, pag. 135, Bancaria
41
semi-qualitative di risk scoring, che si basano in via principale sull’utilizzo di due elementi:
- la frequenza di accadimento dell’evento rischioso;
- il suo “peso”, ovvero l’impatto economico-patrimoniale che causerebbe sull’intera organizzazione.
(Fonte D’Onza G. – “Dispense di analisi dei processi e revisione gestionale”, 2009)
Come si evince facilmente dall’immagine, la combinazione delle due dimensioni conduce alla creazione della c.d. “Risk Scoring Matrix” e consente di assegnare un valore quantitativo e, eventualmente, un punteggio (score) al rischio inerente; il punteggio che viene assegnato solitamente varia tra uno, in caso di bassa esposizione, e cinque, quando il livello di rischio risulta massimo.
Le regole generalmente adottate per la valutazione del rischio inerente tendono tuttavia a privilegiare, relativamente all’inclusione di un determinato evento in una classe di rischio, il peso dell’evento rischioso rispetto alla sua frequenza di accadimento; questo perché risulta più ragionevole e largamente accettato prevenire un evento che, anche se poco frequente, costituirebbe un grave pericolo per la stabilità dell’organizzazione nel caso in cui dovesse verificarsi. Nell’ambito della funzione Compliance un caso particolare e di non semplice valutazione del rischio inerente si verifica quando alla base degli eventi di rischio vi sono condizioni che potrebbero compromettere la reputazione: come precedentemente analizzato la reputazione costituisce un fattore di primario
42
idoneo sistema di prevenzione e verifica dei principali fattori che potrebbero alterarla. A tal fine un interessante contributo è stato fornito della società KPMG che ha riconosciuto una serie di “Reputational Drivers” identificativi degli ambiti tipici di operatività dai quali possono generarsi eventi di rischio in grado di influenzare negativamente la reputazione dell’azienda e che, nel modello di gestione dei rischi reputazionali, consentono di individuare gli ambiti di azione su cui si possono sviluppare i piani di attenuazione del rischio. Tali drivers sono principalmente rappresentati da35:
DRIVER DESCRIZIONE
Performance Finanziaria
Indica se la strategia della Banca è competitiva e se gli investitori si aspettano di ricevere utili in futuro.
Corporate Governance
Indica un insieme di regole, meccanismi e processi generati dall'interazione tra varie entità a diversi livelli istituzionali, al fine di tutelare in modo uguale gli interessi di tutti gli stakeholders.
Performance sociale, etica e ambientale
Indica come la Banca affronta e gestisce i problemi sociali e ambientali, e se adotta comportamenti etici e socialmente responsabili (Corporate Social Responsibility).
Risorse Umane
Indica le caratteristiche delle risorse umane impiegate nella Banca (in particolare le competenze, la motivazione e i comportamenti adottati dal personale).
Customer Relations
Indica i rapporti che la Banca intrattiene con la propria clientela, al fine di acquisire e mantenere un vantaggio competitivo.
35 KPMG - “Il potere delle informazioni nella recessione. La gestione dei rischi e i profili
43
Rispetto della Normativa
Indica le leggi e i regolamenti che la Banca deve rispettare per non incorrere in sanzioni e per evitare perdite.
Crisis Management e Comunicazione
Indica le politiche e le azioni da mettere in atto per gestire e limitare i danni derivanti da situazioni di crisi che la Banca può affrontare.
Una volta mappato l’insieme degli eventi rischiosi che potrebbero scaturire da ciascuno dei driver reputazionali analizzati, occorre attribuire a detti eventi un valore che andrà a costituire il “peso reputazionale”. Successivamente, l’incrocio tra la frequenza di accadimento dell’evento reputazionale ed il suo peso rappresenteranno il valore di rischio inerente intrinseco all’evento stesso.
Sembra opportuno considerare come il driver reputazionale di principale oggetto della funzione compliance dovrebbe essere quello relativo al rispetto della normativa, anche in base alla definizione specifica di rischio di non conformità che ha per oggetto il mancato o non completo allineamento a norme di etero e autoregolamentazione; tuttavia un aspetto altrettanto importante su cui la funzione deve presidiare è relativo al rischio reputazionale nel suo complesso. L’analisi dovrà perciò fondarsi sull’insieme dei fattori di rischio associati a tutti i driver reputazionali citati, il cui presidio potrà comunque avvenire in cooperazione con la funzione di risk management.
La seconda fase del processo di compliance risk assessment è rappresentata dalla
valutazione di adeguatezza dei controlli in essere; tale fase si propone di rilevare
e valutare ex ante i controlli e le misure di mitigazione in essere al momento della rilevazione. Viene cioè misurata la capacità del sistema attuale dei controlli di far fronte alla nascita di eventuali rischi di non conformità.
La terza fase è rappresentata dalla determinazione del rischio residuo, il rischio che rimane una volta sottratta la percentuale di abbattimento del rischio inerente apportata dai controlli esistenti.
La quarta fase è costituita dalla Gap Analysis e dalla predisposizione del piano
44
dovrebbero tendere all’azzeramento del rischio oltre che ricondurlo entro le prefissate soglie di tollerabilità; questo in quanto, come già detto, la funzione Compliance deve adottare i più opportuni presidi volti a tenere sotto controllo anche la componente reputazionale insita nei rischi di non conformità, per cui non sempre sono facilmente definibili necessità, quantità e qualità degli interventi correttivi da attuare.
L’ultima fase corrisponde alla valutazione di efficacia dei controlli, in cui è necessario constatare la loro effettiva capacità di mitigare il rischio di non conformità emergente dai processi. Una volta completato il processo di compliance risk assessment è possibile dare conto dell’effettiva esposizione dell’ente finanziario al rischio di non conformità. La funzione compliance inoltre, con cadenza almeno annuale e su richiesta degli organi di vertice, deve provvedere ad effettuare una pianificazione delle proprie attività e ad elaborare un documento, il Compliance Plan, sulla base di36:
- evidenze derivanti da precedenti attività di valutazione del grado di esposizione dell’impresa a rischi di non conformità e reputazionale;
- significative variazioni intervenute nei processi e nelle attività dell’impresa, o nella normativa interna ed esterna oggetto di presidio da parte della funzione.