1 / 60

I rischi ed i controlli di Compliance

I rischi ed i controlli di Compliance. Simone Barbieri Compliance Italy UniCredit SpA. Università di Pisa Master in Auditing e Controllo Interno nelle Banche. Pisa, 24 Marzo 2012. Agenda. Basilea 2 e la gestione dei rischi. A. B. Compliance Risk e la funzione Compliance. C.

terryal
Download Presentation

I rischi ed i controlli di Compliance

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. I rischi ed i controlli di Compliance Simone Barbieri Compliance Italy UniCredit SpA Università di Pisa Master in Auditing e Controllo Interno nelle Banche Pisa, 24 Marzo 2012

  2. Agenda Basilea 2 e la gestione dei rischi A B Compliance Risk e la funzione Compliance C • Controlli di Compliance di secondo livello Casi di studio D Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  3. Basilea 2 • Obiettivi del secondo Accordo di Basilea erano: • Promuovere la stabilità dei sistemi finanziari • Definire requisiti patrimoniali coerenti con il profilo di rischio della banca • Creare incentivi per migliorare la misurazione e la gestione dei rischi da parte delle banche • Creare condizioni di parità concorrenziale tra le banche • Attraverso: • Adozione di un approccio evolutivo, che considera la possibilità di utilizzare diverse metodologie di calcolo del requisito a fronte del rischio di credito: • Metodologia standard • Metodologia “di base” per i rating interni (“Foundation Approach”) • Metodologie avanzate per le banche in grado di analizzare livelli di complessità più elevati (“Advanced methodologies”) • Introduzione di un nuovo requisito patrimoniale per il rischio operativo (resta la ‘vecchia’ normativa sui rischi di mercato) Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  4. Impianto dell’accordo New Basel Capital Accord Pillar 1 “Quantitativo” Pillar 2 “Qualitativo” Pillar 3 “Dinamiche di mercato” Minimum Capital Requirements Supervisory Review Process MarketDiscipline • Calcolo dei requisiti patrimoniali • Rischio di credito • Rischio operativo • Rischio di mercato Processi per la valutazione capital adequacy Banche “to operate” con livelli patrimoniali superiori al minimo Interventi preventivi da parte dei “regulators” • Requisiti informativi • Struttura del capitale • Esposizioni a rischio • Adeguatezza patrimoniale Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  5. La gestione dei rischi • I rischi “tradizionali”: • Il rischio di mercato è rappresentato dalla possibilità di perdite nel valore del portafoglio della banca a causa dell‘oscillazione prezzi degli asset a seguito di variazioni dell’andamento dei mercati o delle principali variabili macroeconomiche (tassi d'interesse, cambi, ecc.). • Il rischio di credito è il rischio di inadempienza (default) del debitore con conseguenza della perdita totale o parziale del capitale e/o degli interessi relativi alla posizione creditizia. • Il rischio di tasso di interesse è il rischio derivante da una variazione sfavorevole dei tassi di interesse che impatta sul risultato della banca, sulla valutazione delle sue attività delle passività e del capitale quando tali attività o passività scadono o sono fissati nuovi prezzi a diversi intervalli. • Il rischio di liquidità si manifesta in tre forme. Queste sono collegate ad errori nel: • mantenere sufficiente cassa e titoli liquidi per soddisfare le necessità liquide a breve termine della banca; • capacità di accedere al mercato dei capitali allo scopo di aumentare i finanziamenti richiesti necessari alla banca; • capacità di ridurre o liquidare le posizioni di mercato. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  6. La gestione dei rischi • I rischi “emergenti”: • Il rischio strategico è il rischio connesso al processo decisionale afferente la definizione degli obiettivi strategici e le linee guida operative per il raggiungimento. • Il rischio operativo è definito come quel rischio legato all'incertezza, in termini temporali e di valore, di perdite potenziali per la banca dovute a inefficienze operative nei processi e nelle funzioni interne, alle risorse umane nonché ad eventi esterni. • Le principali fonti si individuano in: • frode interna, truffa e frode esterna, errori del personale, inadeguata gestione dei clienti, dei prodotti e delle pratiche di business, danni a beni materiali, problemi ai sistemi IT. • Il rischio legale è definito come il rischio derivante da violazioni o dalla mancanza di conformità con leggi, norme e regolamenti oppure dalla poca trasparenza in merito ai diritti e ai doveri legali delle controparti in una transazione. • Il compliance risk……………. • Il reputational risk……………. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  7. Agenda Basilea 2 e la gestione dei rischi A B Compliance Risk e la funzione Compliance C • Controlli di Compliance di secondo livello Casi di studio D Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  8. Compliance Risk • Principali riferimenti normativi • 04/2005 Basel II “Compliance and the compliance function in banks” • 10/07/2007 Disposizioni di Vigilanza Banca d’Italia N. 688006 • 29/10/2007 Regolamento congiunto Banca d’Italia-Consob Definito come: “il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di autodisciplina”. (Disposizioni di Vigilanza della Banca d’Italia del 10 luglio 2007) Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  9. Reputational Risk Definizione di Corporate Reputation “La reputazione è un asset immateriale dell’azienda rappresentato dall’insieme dei giudizi collettivi e delle percezioni emozionali degli stakeholders relativi agli impatti finanziari e sociali che l’azienda può assicurare nel corso del tempo”. Rischio reputazionale “Reputational risk arises from operational failures, failure to comply with relevant laws and regulations, or other sources. Reputational risk is particularly damaging for banks since the nature of their business requires maintaining the confidence of depositors, creditors and the general marketplace”* * Basel Commitee on Banking Supervision, Core principles for effective banking supervision, September, 1997 Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  10. “La puntuale osservanza delle norme, di adeguati standard operativi, dei principi deontologici ed etici costituisce un prerequisito per la sana e prudente gestione degli intermediari. Vanno rafforzati i presidi volti a orientare la cultura aziendale al rigoroso rispetto delle regole, alla corretta gestione dei conflitti di interesse, alla conservazione del rapporto fiduciario con la clientela.”. (Considerazioni finali del Governatore della Banca d’Italia 31 maggio 2006 -112° Assemblea) La Compliance La Funzione di Compliance svolge un ruolo di rilievo nella creazione di valore attraverso il rafforzamento e la preservazione del buon nome della Banca e della fiducia nel pubblico nella sua correttezza operativa e gestionale. La funzione di Compliance, attraverso una responsabilizzazione di tutti i dipendenti, deve verificare che le procedure e policy interne siano coerenti con l’obiettivo di prevenire la violazione di norme di eteroregolamentazione (leggi e regolamenti) ed autoregolamentazione (codici di condotta, codici etici) applicabili alla Banca. (Disposizioni di Vigilanza della Banca d’Italia del 10 luglio 2007) Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  11. La Funzione Compliance: perché • L’incremento della complessità nel mondo finanziario è la causa scatenante del bisogno di una specifica previsione normativa della funzione; in particolare si fa riferimento: • all’aumentata complessità operativa delle banche: • crescente sofisticazione delle operazioni e dei prodotti finanziari; • allargamento del mercato di riferimento (il concetto di operazioni internazionali per esempio si è ormai spostato fuori dall’area euro); • globalizzazione dei mercati finanziari; • all’incremento e diversità dei canali distributivi utilizzati (filiali, internet, reti di promotori finanziari, eccetera); • all’aumentata complessità organizzativa delle banche: • incremento dei processi cross-funzionali, legati all’affermazione del modello di banca universale; • incremento delle dimensioni attraverso processi di fusione, acquisizione che hanno comportato, oltre che maggiori sinergie operative, anche un livello più elevato di potenziali conflitti di interesse; Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  12. La Funzione Compliance: perché (2) • alla complessità crescente del quadro regolamentare di riferimento a cui il settore bancario è stato soggetto negli ultimi anni: • normative antiriciclaggio (terza direttiva, KYC, Know Your Customer); • Basilea II; • Mifid; • Market Abuse; • il modello organizzativo 231/2001; • Sarbanes & Oxley Act; • la normativa sulla trasparenza; • PSD; • CCD; • SEPA, TARGET 2 • oltre che all’incremento delle iniziative di autoregolamentazione come codici di condotta, codici etici, adesione alle best practice, eccetera. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  13. Il Sistema dei Controlli Interni (SCI) …è l’insieme di regole, procedure e strutture organizzative volte al rispetto delle strategie aziendali e la gestione del rischi BOD BoSa Linee di indirizzo ICBC … … Seconda linea di difesa Prima linea di difesa Terza linea di difesa Finalità del Sistema dei Controlli Interni (SCI) Controlli di I livello: Attività di controllo finalizzata ad assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture di business (ad es. controlli gerarchici) o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di back-office Controlli di II livello: Attività di controllo svolta da funzioni specializzate indipendenti dal business che hanno l’obiettivo di gestire / mitigare i rischi ai quali la banca è esposta, le carenze procedurali, anomalie o irregolarità riscontrate al fine di promuovere l’adozione di opportune misure correttive Controlli di III livello: Attività di controllo svolta da Internal Audit e finalizzata ad individuare andamenti anomali e violazioni delle procedure nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Essa è condotta in via periodica o per eccezioni, da strutture diverse da quelle produttive, anche attraverso verifiche in loco • Efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.) • Salvaguardia delvalore delle attività e protezione dalle perdite • Affidabilità e integrità delle informazioni contabili e gestionali • Conformità delle operazioni con la legge, con la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne e di Gruppo Componenti del sistema dei controlli Internal Controls, Unità di Business, etc. Compliance, Risk management Internal Audit Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  14. Caratteristiche della Funzione Compliance • I requisiti organizzativi richiesti per la funzione Compliance possono essere in gran parte rintracciati nelle previsioni normative: • indipendenza • la formalizzazione del mandato da parte del vertice aziendale della funzione Compliance che ne identifica compiti, responsabilità, modalità operative è di fondamentale importanza anche per evitare le possibili duplicazioni di funzioni che comporterebbero forti inefficienze operative; • la posizione nell’organigramma deve garantire indipendenza dalle funzioni di business e la separazione da altre funzioni di controllo per prevenire possibili conflitti di interesse; • autonomia • autonomia di intervento: accesso incondizionato a dati, informazioni, archivi, persone e beni aziendali; • autonomia professionale: la funzione Compliance deve essere dotata di personale adeguato sia in termini di numero, ma specialmente riguardo le competenze richieste nello svolgimento delle attività (competenze di carattere legale, organizzative, progettuali, relazionali); • autonomia economica: deve essere dotata di un budget autonomo per la gestione delle proprie attività; • autorevolezza • del responsabile della funzione Compliance, grazie al commitment dell’Alta Direzione; • esplicitata con una adeguata pubblicità sul ruolo e la responsabilità della funzione all’interno della banca. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  15. Ruolo della Funzione Compliance • La funzione di Compliance: • identifica nel continuo le norme applicabili alla Banca e ne misura e valuta il relativo impatto su processi e procedure aziendali; • valuta ex ante, attraverso un processo di risk assessment, la conformità alla normativa vigente di norme interne, prodotti, progetti, ecc. (deve, pertanto, essere coinvolta in tutti i progetti che la Banca intende intraprendere); • propone modifiche organizzative e procedurali finalizzate ad assicurare adeguato presidio dei rischi di non conformità identificati (es.: stesura di nuove policy miranti a fare operare la Banca in conformità alle norme applicabili); • fornisce consulenza ed assistenza ai vertici della Banca nelle materie in cui si rilevano rischi di non conformità (ad esempio, nella gestione dei conflitti di interesse, in materia di trasparenza bancaria); • collabora in attività di formazione del personale sulle normative applicabili alle attività svolte al fine di diffondere un’adeguata cultura aziendale di compliance (ad esempio, in materia MiFID, market abuse, antiriciclaggio, ecc.); • predispone flussi informativi diretti agli organi aziendali ed alle strutture coinvolte; • gestisce rapporti di collaborazione attiva con le Autorità di Vigilanza, risponde ai loro quesiti si interfaccia con i medesimi in caso di ispezioni e verifiche. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  16. Relazioni con altre funzioni aziendali Legale Operational Risk Internal Audit Compliance IT/Orga HR Formazione Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  17. Agenda Basilea 2 e la gestione dei rischi A B Compliance Risk e la funzione Compliance C • Controlli di Compliance di secondo livello Casi di studio D Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  18. Negli ultimi anni l’evoluzione del contesto regolamentare ha determinato l’esigenza di rafforzare l’attività di monitoraggio … Principali Regulatory Trends • Indipendenza rispetto alle aree operative oggetto di supervisione e rispetto alle altre funzioni di controllo • Riporto diretto alla Alta Direzione della Banca • Coinvolgimento nelle decisioni riguardanti i nuovi processi e i nuovi prodotti,etc. • Autonomia di spesa Requisiti Organizzativi e autonomia della funzione • Adeguatezza delle strutture organizzative in termini di dimensioni e competenze • Adeguatezza degli strumenti a supporto della complessiva operatività della funzione • Adeguatezza e tempestività dei flussi informativi di ritorno dalle altre funzioni • Possibilità di accedere ai dati ritenuti importanti ai fini dell’attività di monitoraggio Metodologie, strumenti e risorse Rafforzamento attività di controllo • Integrazione e/o rafforzamento dei presidi di controllo già esistenti • Presidio di valutazione e controllo non solo ex post ma anche ex ante • Adeguatezza ed efficacia delle azioni di mitigazioni individuate a fronte delle carenze riscontrate, in termini di coinvolgimento delle unità di business interessate, coinvolgimento del management e sostenibilità delle soluzioni proposte Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  19. … mentre le esigenze del mercato e del business richiedono una maggiore integrazione e l’adozione di un approccio “proattivo” Principali Market/BusinessTrends • Adozione di un approccio “proattivo” alla compliance in grado di anticipare le aree di rischio e di focalizzarsi sui risultati • Allineamento del sistema di compliance ai processi di business e coinvolgimento nelle scelte • Capacità di incorporare la cultura della compliance nei diversi processi di business attraverso programmi di training specifici Approccio “Proattivo” Efficienza dell’attività di controllo • Capacità di eliminare e/o ridurre inefficienze legate alla duplicazione e/o sovrapposizione di attività di controllo, etc. • Ridurre la complessità dei processi di controllo indotta da esigenze normative stratificatesi nel tempo Integrazione con gli altri attori del SCI • Individuazione di meccanismi di coordinamento • Interfaccia unica nei confronti del business per l’attività di controllo e per il supporto consultivo • Miglioramento dei flussi informativi e condivisione degli “strumenti” Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  20. In considerazione dell’evoluzione del contesto di riferimento è necessario un ripensamento dell’articolazione del SCI … Approccio non integrato I driver sui quali agire • Definizione del perimetro ruoli e responsabilità con le altre funzioni di controllo • Razionalizzazione del sistema dei controlli di I, II e III livello e chiara comunicazione dei i compiti e delle responsabilità delle funzioni di controllo • Processi di controllo • Definizione delle modalità di controllo che devono essere strettamente funzionali alla natura e alle finalità dell'azione di controllo di competenza della Compliance • Utilizzo di una base informativa comune per effettuazione dei controlli in grado di attingere dai controlli di linea, dalle verifiche effettuate in loco da altre funzioni (es. Internal Audit) • Meccanismi di coordinamento • Sviluppo in sede di pianificazione di forme di ordinata collaborazione fra le funzioni di controllo tese a valorizzare la coerenza e la complementarità delle attività pianificate e alla non duplicazione delle attività • Miglioramento dei flussi informativi tra le funzioni aziendali Punti di debolezza • Inefficienze, controlli ridondanti, sovrapposizione di attività • Scarsa condivisione della base informativa e scarsa integrazione dei sistemi informativi • Struttura dei controlli basata su attività svolte senza una adeguata pianificazione e coordinamento Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  21. … basato su un modello “integrato” che migliori l’efficienza e l’efficacia dell’azione di monitoraggio della funzione di Compliance Migliorare l’efficacia dell’attività di controllo Da approccio a “Silos” verso approccio “Integrato” Obiettivi dell’approccio integrato Migliorare l’efficienza dell’attività di controllo tramite allocazione ottimale risorse • Il livello di maturità delle funzioni di controllo è determinato principalmente in relazione alle dimensioni quali “Risorse”, processi di controllo e metodologie sviluppate • Approccio “Silos”: elevata autonomia di analisi ed intervento, ma con scarsi livelli di condivisione e scambio dei flussi informativi tra le funzioni • Approccio “Integrato”: collaborazione tra le funzioni basata su framework e strumenti di riferimento comuni Evitare la duplicazione dell’attività di controllo con conseguente risparmio di FTE Alto Livello di maturità • Approccio “collaborativo”: le funzioni di controllo collaborano ma l’attività di controllo è inefficace • Attività di controllo da potenziare: le metodologie utilizzate e la scarsa collaborazione tra le funzioni determina una non adeguata gestione dei rischi di non conformità Riduzione duplicazioni flussi dati / richieste a IT per attività di controllo da svolgere Il livello di integrazione tra le funzioni è determinato principalmente dalla collaborazione operativa (es. pianificazione periodica, svolgimento attività, flussi informativi, ecc) e dalla condivisione di strumenti Basso Riduzione dei report di monitoraggio operativo Basso Alto Livello di Integrazione Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  22. L’assetto organizzativo e dei controlli deve tener conto delle indicazioni normative in termini di vincoli organizzativi … Perimetro di Competenza Requisiti Organizzativi* • Obbligo di istituzione di una funzione, permanente e dedicata, di controllo di conformità alle norme (Compliance), con responsabile autonomo ed indipendente • Segregazione tra responsabilità operativee di controllo su soggetti organizzativi distinti • Responsabilità di presidio del Sistema di Controllo Interno indipendente • Disponibilità della necessaria autorità, professionalità e competenze • Riporto diretto agli organi aziendali • Modalità di remunerazione dei soggetti rilevanti che partecipano alle funzioni di controllo tali da non comprometterne l’obiettività MIFID Conflitti di interesse Market Abuse Parti Correlate Antiriciclaggio Trasparenza Usura Patrimonio di Vigilanza (*) Fonte: Regolamento Congiunto Consob – Banca d’Italia – ottobre 2007; Dalle disposizioni di Vigilanza sulla Funzione di Conformità per le Banche - luglio 2007

  23. … e delle linee guida delle Autorità di Vigilanza per lo svolgimento delle attività di controllo e monitoraggio Linee guida normative per l’attività di controllo e monitoraggio della Compliance • Valutazione preventiva: Valuta con regolarità l’adeguatezza e l’efficacia delle procedure adottate dall’intermediario • Controlli: • Controlli in loco: Può svolgere controlli in loco (*) su base campionaria per individuare aree di inefficacia/ criticità delle procedure predisposte • Controlli a distanza: verifiche verifica i fenomeni aziendali, sulla base di indici di significatività • Azioni di monitoraggio/ interventi correttivi: Monitora inoltre che vengano realizzati tempestivamente gli interventi correttivi • Rapporti con altre funzioni: Collabora con Audit nella definizione del piano dei controlli e segnala (anche all’Audit) le disfunzioni riscontrate nel corso della propria attività (in particolare, eventuali comportamenti difformi alla normativa rilevati) (*) La compliance per le verifiche in loco normalmente si avvale (alla luce di un accordo di servizio) di risorse e funzionalità dell’Internal Audit. In tal caso, gli intermediari predispongono accorgimenti atti ad assicurare che l’attività di controllo di terzo livello dell’Audit sulla Compliance sia ispirata a criteri di perdurante indipendenza e funzionalità Il provvedimento Bankit è stato emanato con focus specifico su AML Valutazione preventiva: Valuta l’idoneità delle procedure in essere per l’adeguata verifica della clientela, la registrazione e la conservazione delle informazioni e per la segnalazione delle operazioni sospette Controlli: Nella valutazione dell’adeguatezza delle procedure, può effettuare controlli in loco su base campionaria per verificare l’efficacia e la funzionalità delle stesse e individuare eventuali aree di criticità. Inoltre, la funzione verifica l’idoneità del sistema dei controlli interni e delle procedure adottate e proporre le modifiche organizzative e procedurali necessarie o opportune al fine di assicurare un adeguato presidio dei rischi Azioni di monitoraggio/ interventi correttivi: Stimola l’azione di approfondimento dei motivi delle carenze, anomalie e irregolarità riscontrate e promuove l’adozione delle opportune misure correttive Rapporti con altre funzioni: La funzione antiriciclaggio collabora con le altre funzioni presenti in azienda (es. funzione di revisione interna) Fonte: Comunicazione congiunta BI - Consob in materia di Ripartizione delle competenze tra Compliance e internal Audit nella prestazione dei servizi di investimento e di Gestione collettiva del risparmio – marzo 2011; Provvedimento Recante Disposizioni Attuative In Materia Di Organizzazione, Procedure E Controlli Interni in materia di Antiriciclaggio – Marzo 2011

  24. Il contesto regolamentare tuttavia lascia aperte diverse opzioni per la definizione del modello operativo dei controlli determinando aree di contatto tra le varie funzioni di controllo In applicazione al principio di proporzionalità e solo per realtà poco complesse Nel rispetto dei principi di indipendenza e autonomia di giudizio Opzione A Opzione B Opzione C Compliance ”autonoma” Compliance con funzioni di coordinamento Compliance esternalizzata Esemplificativo Compliance svolge senza altri supporti tutte le attività previste nel processo di gestione del rischio di non conformità Compliance svolge direttamente alcune attività (in relazione ad organico, dimensioni e complessità aziendale) mentre per altre si avvale del supporto di altre funzioni, che coordina direttamente al fine di assicurare unitarietà e coerenza complessiva d’approccio Esternalizzazione della Compliancea soggetti terzi purché dotati dei requisiti di professionalità e indipendenza Perimetro di competenza Compliance Conflitti di interesse Market Abuse Parti correlate D.Lgs 231 MiFID Trasparenza AML Privacy Basilea II Usura Antitrust Aree di “contatto” determinate dall’attuale contesto regolamentare Processi del credito Sistemi informativi Contabili Prestazione servizi di investimento Perimetro altre funzioni di controllo (Internal Controls, Audit, etc.) Prestazione dei servizi bancari Processi di Staff e supporto Aree di contatto tra Compliance, Internal Audit e funzioni di controllo di I livello

  25. Controls Monitoring Framework: From identification to reporting 1 2 3 Control Identification Control Planning Control Execution & Reporting Drivers for controls identification: Business focus Risk Assessment (CAMP) Regulatory focus Audit findings Regulatory requirements identification Control Objectives identification Controls catalogue definition Control list definition Compliance monitoring plan Control execution Mitigation action monitoring Reporting Review controls list & Compliance monitoring plan UniCredit S.p.A . – Compliance Monitoring Plan Controls Catalogue Monitoring plan Control Processes Compliance Report Monitoring reviews Control Control Regulation Owner Objective Description Control Execution Process ID type Jan Feb Mar … A MiFID SI.03 Compliance Verify the The Automatic Control Escalation Process Reporting Process complete structure B … verify… AML SOS.01 AML Verify the The Automatic C complete structure Main Output ….. … verify… D AML CDD.06 IC Verify the The Manual complete structure … verify… Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  26. Controls Framework Aggregation Rules Controls Design Regulatory Area Regulatory Topic Regulatory Requirement Regulatory Requirement Risk Control Objective • Clustering of Regulatory Topics based on their similarity and groupability in terms of risks and contents • Clustering of Regulatory Requirements based on their similarity and groupability in terms of risks and contents • Synthetic and detailed description of the regulatory requirement of the EU regulation reported of the left • For each compliance Regulatory Requirement, the related Compliance Risk has been associated • High-level control objectives aimed at covering the requirement risk reported on the left Control Name • Brief description of the control designed based on the current processes/ procedures Control Description • Detailed description of the control designed which contains the specifications of the control execution Indicator • Indicator associated to the designed control and which embodies the specific risk exposure Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  27. Local Controls & Reporting Framework Controls Design Control Name Control Description Indicator • Regulatory Areas, Topics, Requirements, Risks and Control Objectives are defined based on the same rules applied to the Global C&RF, except for the local regulation taken into consideration • Brief description of the control designed based on the current processes/ procedures • Detailed description of the control designed which contains the specifications of the control execution • Indicator associated to the designed control and which embodies the specific risk exposure Key Features • Based on the local regulation and its requirements • Customized in terms of areas, topics or requirements, where applicable • Composed of controls and related indicators designed on the basis of the local processes and procedures currently in place NOT EXHAUSTIVE Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  28. Scheda Controllo Scheda Controllo Descrizione Anagrafica Controllo • Sezione con indicazione delle informazioni anagrafiche del controllo quali: codice del controllo, nome del controllo, area normativa, topic, requisito normativo, rischio, ecc. Dettagli Controllo • Sezione con indicazione delle informazioni di dettaglio del controllo quali: descrizione, tipologia, frequenza, natura, ecc. Dettagli Indicatore • Sezione con indicazione delle principali caratteristiche e componenti dell’indicatore Dettagli Attività d’investigazione • Sezione con indicazione dell’elenco di ulteriori indicatori automatici (additional inquiries) e dell’elenco delle analisi manuali (manual investigations) utilizzate allo scopo di analizzare in maniera più approfondita (es. scomposizione per tipologia di prodotto) i macrofenomeni di rischio identificati tramite indici a distanza Dettagli Ownership • Sezione con indicazione delle strutture organizzative deputate ad effettuare le analisi dei dati, le investigazioni (sia automatiche sia manuali) Note • Sezione con indicazione di eventuali chiarimenti su ogni controllo se necessari Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  29. Tipologie di controlli Descrizione Esempio Controlli ex ante • Valutazione preventiva (es. Comitato di prodotto, documento informativo da fornire al cliente, ecc.) effettuata principalmente dalla Funzione Compliance in merito all'adeguatezza / efficacia delle procedure / politiche e dei prodotti al fine di ridurne i rischi • Conformità della documentazione pubblicitaria / spreadsheet di prodotto / prospetto informativo / ecc. Controlli a distanza • Controlli supportati da flussi periodici di dati provenienti dalle procedure (controlli automatici) al fine di individuare i rischi potenziali cui è esposta la Banca. Se il rischio è rilevante, Compliance esegue ulteriori azioni di indagine a distanza finalizzate ad analizzare più a fondo i rischi identificati • Identificare le posizioni per le quali è stato effettuato un abbassamento manuale del profilo di rischio da parte del gestore Controlli in loco • Controlli effettuati a livello di filiale (controllo documentale) e necessari a monitorare il rischio di non conformità o ad indagare sulle prove di indicatori specifici. La funzione di Compliance può avvalersi del supporto di altre strutture di controllo, come Internal Controls • Verifica della corretta conservazione ed archiviazione della documentazione della clientela Altra tipologia di controlli • Conformità delle comunicazioni inviate ai clienti • Controlli ex post eseguiti attraverso tecniche “innovative” quali, ad esempio: Mystery Shopping, Mystery Client, focus groups • Al fine di garantire una efficace ed efficiente attività di controllo di conformità, i controlli che coinvolgono più di un attore devono essere progettati circoscrivendo ruoli e responsabilità dei singoli attori e dei relativi meccanismi di coordinamento Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  30. Modello per l’esecuzione dei controlli – Processo e Linee guida Processo di controllo Linee guida del modello dei controlli di Compliance Identificazione dei rischi e disegno dei controlli 1 Metodologia e disegno controlli: Compliance disegna tutte le tipologie di controllo (ex ante, a distanza, in loco e new generation) con l’obiettivo di gestire i rischi di non conformità e definisce la metodologia per la loro esecuzione (es. cosa monitorare, con quale frequenza, ecc.) Esecuzione dei controlli Esecuzione dei controlli 2 Supporto da parte di altre funzioni di controllo nell’esecuzione dei controlli di secondo livello: per aumentare l’efficienza delle attività di controllo attraverso un’ottimale allocazione di risorse, la funzione di Compliance può avvalersi del supporto di altre strutture di controllo. Il coinvolgimento di tali strutture è parziale e limitato a determinate attività di controllo di secondo livello (es. controlli in loco), mentre Compliance mantiene la responsabilità e la valutazione dei risultati Formalizzazione dei controlli Attività della Funzione Compliance 3 Meccanismi di coordinamento: la decisione di avvalersi del supporto di altre strutture di controllo per l’esecuzione dei controlli di secondo livello di Compliance si fonda sulla formalizzazione di uno specifico accordo (“accordo sull’esecuzione dei controlli di secondo livello”) che regola obiettivi, compiti e responsabilità delle parti, la metodologia per l’esecuzione degli stessi (compresi i criteri di campionatura, le metodologie di rappresentazione dei risultati, ecc.) e le competenze delle risorse coinvolte nell’esecuzione dei controlli di secondo livello Additional investigation Identificazione delle azioni di mitigazione 4 Monitoraggio delle attività di controllo effettuate con il supporto di altre funzioni: sulla base dell’accordo formalizzato tra le parti, Compliance monitora l’efficacia dei controlli di secondo livello eseguiti da funzioni di controllo di primo livello con l’obiettivo di valutare l’approccio adottato, verificare la qualità dei dati e migliorare lo scambio di informazioni tra le funzioni coinvolte Monitoraggio delle azioni di mitigazione 5 Reportistica: alla luce di tali responsabilità, Compliance riporta al Top Management e agli Organi Societari e alla funzione di Internal Audit le evidenze rinvenute durante le attività di controllo, fornendo adeguata rappresentazione dell’esposizione globale al rischio di non conformità. I report di Compliance comprendono anche le attività di controllo svolte dalle funzioni di controllo di primo livello Reporting Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  31. Attività di Investigation Descrizione Fasi del processo di investigation • Al fine di valutare l’idoneità dei presidi adottati per mitigare il rischio di non conformità alla disciplina, UniCredit ha adottato un sistema di controllo basato sull’utilizzo di KCI, di natura prevalentemente automatica ed ex post. Il set di KCI utilizzato, consente di apprezzare, su una scala di tipo qualitativo (rischio alto, rischio medio alto, rischio medio basso, rischio basso) l’esposizione al rischio di non conformità sulle diverse aree normative Key Control Indicators • A seguito delle risultanze dei KCI, nella fase di prima investigazione la struttura di Compliance si avvale di ulteriori indicatori automatici allo scopo di analizzare in maniera più approfondita (es. scomposizione per tipologia di prodotto) i macrofenomeni di rischio identificati nella fase precedente Investigazione attraverso ulteriori indicatori a distanza • Una volta identificata una specifica criticità a seguito dell’analisi a distanza, la funzione di Compliance, avvalendosi anche di strutture di presidio territoriale accentrate, svolge delle analisi manuali del fenomeno su un campione identificato sulla base predefinite regole (esempio MiFID: focus su clienti che hanno effettuato un numero elevato di operazioni negli ultimi 12 mesi, su clienti con controvalore di portafoglio elevato, etc..) Investigazione manuale a campione • Per superare le carenze rilevate ed assicurare l’efficacia delle procedure aziendali e dei presidi a tutela della clientela, la funzione Compliance formula, per ciascuna criticità rilevata, proposte di adeguamenti organizzativi e di processo ed effettua verifiche periodiche e monitoraggio nel continuo circa l’effettiva applicazione ed efficacia delle misure di mitigazione adottate Identificazione criticità e definizione azione mitigazione Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  32. Esempio 1 – AML – Diminuzione manuale del profilo di rischio – indicatore di esposizione al rischio Controlli a distanza: Monitoraggio del Processo (1/2) ESEMPIO 1 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 1 • Compliance è responsabile dell’identificazione dei rischi e del disegno dei relativi indicatori di controllo (cfr. esempio sottostante) definendo i valori soglia e/o i parametri necessari ad intercettare il rischio mappato: • rischio: mancata definizione / adozione di un approccio basato sul rischio per l’adeguata verifica della clientela • controllo: verificare la correttezza e coerenza della riduzione manuale del profilo di rischio del cliente • indicatore: numero degli NDG che hanno subito una diminuzione manuale del profilo di rischio da parte del gestore nel periodo di riferimento • soglie: Rischio alto: x > 5%; Rischio medio-alto: 3% < x <= 5%; Rischio medio-basso:1% < x <= 3%; Rischio basso: x <= 1% • Compliance è responsabile della validazione dell’indicatore prima della sua implementazione da parte di UGIS ed è responsabile della gestione / aggiornamento degli indicatori identificati e degli strumenti informatici a supporto • Internal Audit, in via conforme a quanto definito dall’OdS 519, può fornire consulenza a Compliance nella fase di disegno del controllo • Internal Controls, sulla base della propria esperienza sul campo, può essere coinvolta da Compliance per fornire supporto consultivo nella fase di disegno dell’indicatore di controllo • UGIS sulla base delle specifiche fornite da Compliance implementa l’indicatore definito Identificazione e disegno del controllo Supporto consultivo Identificazione rischi e disegno controlli IA IC 2 Esecuzione controlli a distanza • Compliance definisce e condividere con Internal Controls le linee guida e la metodologia per l’esecuzione della manual investigation Indicatore di rischio effettivo Indicatore di rischio potenziale Esecuzione del controllo Esecuzione di ulteriori controlli a distanza Esecuzione di manual investigation • Compliance monitora gli indicatori secondo periodicità predefinita e ne valuta (in funzione della tipologia di indicatore) le risultanze a livello di network / area geografica/ filiale / gestore / NDG. • L’individuazione di situazioni di anomalia può comportare la necessità di svolgere ulteriori approfondimenti a cura – direttamente – di Compliance (es. esecuzione di ulteriori controlli a distanza, acquisizione di evidenze documentali – visite on site o interrogazione archivi elettronici –, richiesta di chiarimenti al gestore, ecc.) ovvero – indirettamente – a cura di Internal Contols • A seguito dell’attività di analisi degli indicatori, Compliance può richiede ad Internal Controls di svolgere gli ulteriori approfondimenti che si rendano necessari (es. verificare le cause della riduzione del profilo di rischio attraverso: i) analisi delle giustificazioni apportate in Gianos Controlli; ii) analisi, anche con riscontri documentali, delle informazioni e dati raccolti a supporto delle riduzioni manuali del profilo di rischio) fornendo indicazioni operative in via coerente con l’accordo di servizio sottoscritto tra le parti IC Assenza di rischio effettivo Presenza di rischio effettivo • Internal Controls effettua (secondo l’approccio concordato) ispezioni in loco volte a verificare l’esistenza dei documenti a supporto e giustificazione della riduzione manuale del profilo di rischio. • A conclusione dell’attività di verifica, Internal Controls fornisce a Compliance le risultanze dei controlli mantenendo idonea tracciatura e documentazione delle attività di controllo effettuate • Compliance effettua una verifica campionaria sui controlli di 2°livello eseguiti dalle strutture di controllo di 1°livello richiedendo copia della documentazione raccolta e analizzando il rispetto della metodologia di verifica concordata A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  33. Esempio 1 – AML – Diminuzione manuale del profilo di rischio – indicatore di esposizione al rischio Controlli a distanza: Monitoraggio del Processo (2/2) ESEMPIO 1 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 3 • Compliance: • riceve da Internal Controls i risultati delle manual investigation eseguite • analizza e valuta le risultanze dei controlli svolti da Internal Controls facendosi carico della gestione degli eventuali rischi rilevati • richiede, ove necessario, ad Internal Controls l’esecuzione di ulteriori attività ispettive (es. ampliamento del campione di analisi) • Compliance è responsabile della valutazione / interpretazione dei risultati evidenziati da Internal Controls in relazione ai rischi di non conformità individuati • In caso di anomalie diffuse: • identifica le possibili misure procedurali / organizzative da implementare per risolvere / mitigare i rischi riscontrati ( es. revisione dell’algoritmo di calcolo del profilo di rischio, introduzione a sistema di blocchi autorizzativi per la riduzione del profilo di rischio, esecuzione di attività formativa / informativa rivolta alla rete, ecc.) • condivide le azioni proposte con le altre Funzioni coinvolte (es. Organizzazione, Internal Controls, IT) • definisce la timeline di implementazione delle azioni di mitigazione individuate • monitora le attività di implementazione delle azioni di mitigazione individuate secondo le tempistiche definite • Internal Audit, in via conforme a quanto definito dall’OdS 519, può fornire consulenza a Compliance nella fase di identificazione delle azioni di mitigazione • Internal Controls può essere coinvolta da Compliance per fornire supporto consultivo nell’identificazione delle azioni di mitigazione Identificazione azioni correttive Proposta di azione di mitigazione • Supporto consultivo da parte di Internal audit Consolidamento azione di mitigazione Condivisione azioni di mitigazione CO IC BU 4 Monitoraggio azione di mitigazione • Compliancemonitora il rispetto della timeline di implementazione dei controlli • Compliance determina un escalation process qualora gli action owner non concordino con le azioni di mitigazione proposte ovvero non rispettino le scadenze previste per la realizzazione delle azioni correttive individuate • Compliance predispone periodicamente una relazione sull’attività di monitoraggio svolta con evidenza delle potenziali anomalie riscontrate sia per singolo network / area geografica / gestore sia per singola area normative (approccio “per silos”) • Compliance riporta al Top Management e agli Organi Aziendali: • le evidenze / risultati dei controlli a distanza (II livello) effettuati dalla stessa Compliance • le evidenze / risultati delle manual investigation effettuate (in loco) da Internal Controls (es. effettiva presenza di un’anomalia) • le azioni di mitigazione (e le relative deadlines) identificate per limitare i possibili rischi riscontrati (es. omogeneizzazione dei processi relativi all’abbassamento manuale dei profili di rischio) • le strutture coinvolte nel processo di risoluzione del rischio individuato (es. Organizzazione) • Internal Auditriceve dalla funzione di Compliance evidenza delle azioni di mitigazione intraprese a fronte delle anomalie diffuse riscontrate ed in generale tutta la reportistica prodotta dalla funzione di Compliance per gli Organi Aziendali Monitoraggio e reporting Riporto al Top Management e agli Organi Aziendali A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  34. Esempio 2 – AML – Presenza dei documenti identificativi del cliente – controllo in loco Controlli in loco: Monitoraggio del Processo (1/2) ESEMPIO 2 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 1 • Compliance è responsabile dell’identificazione dei rischi e del disegno dei relativi controlli (cfr. esempio sottostante) definendo i valori soglia e/o i parametri funzionali necessari ad intercettare il rischio mappato: • rischio: mancata archiviazione delle copie dei documenti identificativi dei clienti • controllo: verificare se, in fase di identificazione del cliente e di somministrazione del questionario di adeguata verifica, sono state archiviate le copie dei documenti identificativi del cliente all’interno del fascicolo del cliente • indicatore: numero clienti privi di copia dei documenti identificativi / totale clienti analizzati • soglie: Rischio alto: x > 5%; Rischio medio-alto: 3% < x <= 5%; Rischio medio-basso:1% < x <= 3%; Rischio basso: x <= 1% • Internal Auditpuò fornire consulenza a Compliance nella fase di disegno del controllo. Identificazione e disegno del controllo Supporto consultivo Identificazione Rischi e Controlli di Compliance IA 2 • Compliance svolge una attività di verifica su controlli eseguiti da terzi il cui obiettivo è di monitorare l’efficacia del controllo in loco Esecuzione controlli in loco • Internal Controls effettua controlli in loco secondo i criteri, l’approccio e gli standard di reporting concordati con la funzione di Compliance. • Il controllo è eseguito su base campionaria attraverso l’acquisizione di informazioni dalle unità di business / filiali verificando che tutte le cartelle dei clienti contengano i documenti identificativi e tenendo traccia delle anomalie riscontrate (es. la filiale oggetto del controllo, ecc.). • A conclusione dell’attività di verifica, Internal Controls fornisce a Compliance le risultanze dei controlli mantenendo idonea tracciatura e documentazione delle attività di controllo effettuate • Compliance condivide le evidenze dei controlli con Internal Controls per perfezionare l’approccio e renderlo più efficace ed efficiente. Al fine di avere una visione completa del controllo dei rischi e di definire azioni di mitigazione appropriate i risultati dei controlli in loco sono confrontati ed integrati con quelli forniti dai controlli a distanza • Compliance effettua, su base semestrale, una verifica campionaria sui controlli di 2°livello eseguiti da altre strutture richiedendo copia della documentazione raccolta e verificando il rispettodella metodologia di verifica concordata IC Esecuzione del controllo Comunicazione risultati a Compliance IC Analisi coerenza risultati controllo in loco e a distanza A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  35. Esempio 2 – AML – Presenza dei documenti identificativi del cliente – controllo in loco Controlli in loco: Monitoraggio del Processo (2/2) ESEMPIO 2 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 3 • Compliance: • riceve da Internal Controls i risultati delle attività di controllo eseguite • analizza e valuta i risultati delle ispezioni svolte da Internal Controls facendosi carico della gestione degli eventuali rischi rilevati • richiede, ove necessario, ad Internal Controls l’esecuzione di ulteriori attività ispettive (es. ampliamento del campione di analisi) • Compliance è responsabile della valutazione / interpretazione dei risultati evidenziati da Internal Controls in relazione ai rischi di non conformità individuati • In caso di anomalie diffuse: • identifica le possibili misure procedurali / organizzative da implementare per risolvere / mitigare i rischi riscontrati ( es. esecuzione di attività formativa / informativa rivolta alla Rete, azione sul sistema incentivante al fine di collegare la quota variabile di retribuzione dei gestori alle anomalie riscontrate,ecc.) • condivide le azioni proposte con le altre Funzioni coinvolte (es. Commerciale, Organizzazione, Internal Controls,) • definisce la timeline di implementazione delle azioni di mitigazione individuate • monitora le attività di implementazione delle azioni di mitigazione individuate secondo le tempistiche definite • Internal Audit, in via conforme a quanto definito dall’OdS 519, può fornire consulenza a Compliance nella fase di identificazione delle azioni di mitigazione • Internal Controls può essere coinvolta da Compliance per fornire supporto consultivo nella fase di identificazione delle azioni di mitigazioni Identificazione azioni correttive Proposta di azione di mitigazione CO IC Consolidamento dell’azione di mitigazione Condivisione azioni di mitigazione CO IC BU 4 • Supporto consultivo da parte di Internal audit Monitoraggio dell’azione di mitigazione • Compliancemonitora il rispetto della timeline di implementazione dei controlli • Compliance determina un escalation process qualora gli action owner non concordino con le azioni di mitigazione proposte ovvero non rispettino le scadenze previste per la realizzazione delle azioni correttive individuate • Compliance predispone periodicamente una relazione sull’attività di monitoraggio svolta con evidenza delle potenziali anomalie riscontrate sia per singolo network / area geografica / gestore sia per singola area normative (approccio “per silos”) • Compliance riporta al Top Management e agli Organi Aziendali: • le evidenze / risultati dei controlli a distanza (II livello) effettuati dalla stessa Compliance • le evidenze / risultati delle manual investigation effettuate (in loco) da Internal Controls (es. effettiva presenza di un’anomalia) • le azioni di mitigazione (e le relative deadlines) identificate per limitare i possibili rischi riscontrati (es. omogeneizzazione dei processi relativi all’abbassamento manuale dei profili di rischio) • le strutture coinvolte nel processo di risoluzione del rischio individuato (es. Organizzazione) • Internal Auditriceve dalla funzione d i Compliance evidenza delle azioni di mitigazione intraprese a fronte delle anomalie diffuse riscontrate ed in generale tutta la reportistica prodotta dalla funzione di Compliance per gli Organi Aziendali Monitoraggio e reporting Report tal Top Management e agli Organi Aziendali A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  36. Esempio 3 – MiFID – Riprofilatura del cliente con incremento del suo profilo di rischio – indicatore di esposizione al rischio Controlli a distanza: Monitoraggio del Processo (1/2) ESEMPIO 3 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 1 • Compliance è responsabile dell’identificazione dei rischi e del disegno dei relativi controlli (cfr. esempio sottostante) definendo i valori soglia e/o i parametri funzionali necessari ad intercettare il rischio mappato: • rischio: non fornire al cliente il servizio / prodotto di investimento più adeguato al suo profilo di rischio • controllo:analisi degli NDG il cui profilo di rischio è aumentato lo stesso giorno o il giorno lavorativo precedente la sottoscrizione di un’obbligazione in collocamento • indicatore: numero degli NDG il cui profilo di rischio è aumentato nel periodo di analisi / numero totale dei clienti) • soglie: Rischio alto: x > 10%; Rischio medio-alto: 8% < x <= 10%; Rischio medio-basso:5% < x <= 8%; Rischio basso: x <= 5% • Compliance è responsabile della validazione dell’indicatore prima della sua implementazione da parte di UGIS ed è responsabile della gestione / aggiornamento degli indicatori identificati e degli strumenti informatici a supporto • Internal Audit, in via conforme a quanto definito dall’OdS 519, può fornire consulenza a Compliance nella fase di disegno del controllo • Internal Controls , sulla base della propria esperienza sul campo, può essere coinvolta da Compliance per fornire supporto consultivo nella fase di disegno dell’indicatore di controllo • UGIS sulla base delle specifiche fornite da Compliance implementa l’indicatore definito Identificazione e disegno del controllo Supporto consultivo Identificazione rischi e disegno controlli IA IC 2 Esecuzione controlli a distanza • Compliance dovrebbe definire e condividere con Internal Controls le linee guida e la metodologia per l’esecuzione della manual investigation Indicatore di rischio effettivo Indicatore di rischio potenziale Esecuzione del controllo • Compliance analizza, attraverso l’utilizzo di apposito applicativo, il numero degli NDG il cui profilo di rischio è aumentato lo stesso giorno o il giorno lavorativo precedente la sottoscrizione di un’obbligazione in collocamento. Tale informazione è analizzata a livello di network/ area geografica / filiale / cliente. • L’individuazione di situazioni di anomalia può comportare la necessità di svolgere ulteriori approfondimenti a cura – direttamente – di Compliance (es. esecuzione di ulteriori controlli a distanza, acquisizione di evidenze documentali – visite on site o interrogazione archivi elettronici – richiesta di chiarimenti al gestore, ecc.) ovvero – indirettamente – a cura di Internal Controls, ad esempio: • additional inquires utilizzando indicatori automatici: numero di clienti il cui profilo di rischio è stato aumentato di due livelli il giorno stesso o il giorno precedente la sottoscrizione di un’obbligazione in collocamento • analisi manuali del fenomeno: focus a livello di filiale / gestore, caratteristiche principali del cliente (es. Segmento di clientela) • Compliance fornisce, ove necessario, le indicazioni operative a Internal Control coerenti con l’Accordo di Servizio sottoscritto tra le parti • Internal Controls effettua, secondo un approccio concordato, ispezioni in loco volte a verificare l’esistenza dei documenti a supporto e giustificazione della riduzione manuale del profilo di rischio, fornendo a Compliance le risultanze dei controlli mantenendo idonea tracciatura e documentazione delle attività di controllo effettuate • Compliance effettua una verifica campionaria sui controlli di 2°livello eseguiti dalle strutture di controllo di 1°livello richiedendo copia della documentazione raccolta e analizzando il rispetto della metodologia di verifica concordata Esecuzione di ulteriori controlli a distanza Esecuzione di manual investigation IC Assenza di rischio effettivo Presenza di rischio effettivo A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  37. Esempio 3 – MiFID – Riprofilatura del cliente con incremento del suo profilo di rischio – indicatore di esposizione al rischio Controlli a distanza: Monitoraggio del Processo (2/2) ESEMPIO 3 FASE COMPLIANCE ALTRE FUNZIONI COINVOLTE EVIDENZE PRINCIPALI 3 • Compliance: • riceve da Internal Controls i risultati delle attività di controllo eseguite • analizza e valuta i risultati dei controlli svolti da Internal Controls facendosi carico della gestione degli eventuali rischi rilevati • richiede, ove necessario, ad Internal Controls l’esecuzione di ulteriori attività ispettive (es. ampliamento del campione di analisi) • Compliance è responsabile della valutazione / interpretazione dei risultati evidenziati da Internal Controls in relazione ai rischi di non conformità individuati • In caso di anomalie diffuse: • identifica le possibili misure procedurali / organizzative da implementare per risolvere / mitigare i rischi riscontrati (es. blocco procedurale che inibisca la riprofilatura dei clienti da profilo “Basso” a profilo “Alto” che hanno rinnovato l’intervista negli ultimi sei mesi, esclusione dal sistema incentivante dei gestori dei clienti per i quali si è provveduto ad una riprofilatura da profilo “Basso” a profilo “Alto” negli ultimi sei mesi ) • condivide le azioni proposte con le altre Funzioni coinvolte (es. Organizzazione) • definisce la timeline di implementazione delle azioni di mitigazione individuate • monitora le attività di implementazione delle azioni di mitigazione individuate secondo le tempistiche definite • Internal Audit, in via conforme a quanto definito dall’OdS 519, può fornire consulenza a Compliance nella fase di identificazione delle azioni di mitigazione • Internal Controls può essere coinvolta da Compliance per fornire supporto consultivo nell’identificazione delle azioni di mitigazione Identificazione azioni correttive Proposta azione di mitigazione • Supporto consultivo da parte di Internal audit Consolidamento azione di mitigazione Condivisione azione di mitigazione CO IC BU 4 Monitoraggio azione di mitigazione • Compliancemonitora il rispetto della timeline di implementazione dei controlli • Compliance determina un escalation process qualora gli action owner non concordino con le azioni di mitigazione proposte ovvero non rispettino le scadenze previste per la realizzazione delle azioni correttive individuate • Compliance predispone periodicamente una relazione sull’attività di monitoraggio svolta con evidenza delle potenziali anomalie riscontrate sia per singolo network / area geografica / gestore sia per singola area normative (approccio “per silos”) • Compliance riporta al Top Management e agli Organi Aziendali: • le evidenze / risultati dei controlli a distanza (II livello) effettuati dalla stessa Compliance • le evidenze / risultati delle manual investigation effettuate (in loco) da Internal Controls (es. effettiva presenza di un’anomalia) • le azioni di mitigazione (e le relative deadlines) identificate per limitare i possibili rischi riscontrati (es. omogeneizzazione dei processi relativi all’abbassamento manuale dei profili di rischio) • le strutture coinvolte nel processo di risoluzione del rischio individuato (es. Organizzazione) • Internal Auditriceve dalla funzione d i Compliance evidenza delle azioni di mitigazione intraprese a fronte delle anomalie diffuse riscontrate ed in generale tutta la reportistica prodotta dalla funzione di Compliance per gli Organi Aziendali Monitoraggio e reporting Riporto al Top Management e agli Organi Aziendali A Legenda: Altre funzioni, generalmente funzioni di business coinvolte per la risoluzione delle criticità identificate Internal Audit Compliance Internal Controls IA CO IC BU

  38. Linee guida del Reporting I risultati dei controlli caricati nel tool di reporting potranno essere visibili anche alle strutture CAMP affinchè l’utilizzo di tale metodologia sia anche dinamico e basato su evidenze empiriche oltre che su una approccio di “self assessment” basato sul rischio • A partire dalle evidenze dei controlli il “dashboard” di reporting consentirà di aggregare i risultati attraverso livelli progressivi di analisi e altrettante viste. Ciò al fine di soddisfare le esigenze dei diversi destinati fornendo: • alle strutture responsabili dei controlli la visibilità di dettaglio sulla situazione del proprio ambito di riferimento • al Responsabile della Compliance, agli organi socialie di vertice della Banca una vista di alto livello sugli esiti dei controlli e delle azioni di mitigazione sulle 11 normative in perimetro Differenti livelli di reporting 1 Linee guida del Reporting Integrazione con la metodologia CAMP Aggregazione dei risultati degli indicatori 4 2 • In accordo con il Framework disegnato per ciascuna normativa, l’esito dei controlli sarà aggregato in progressivamente per “requirement”, “topic” e per “area” attraverso regole definite e condivise con le singole strutture referenti (es. utilizzo dei parametri di significatività e rappresentatività) Gestione delle azioni di mitigazione 3 La reportistica consentirà la gestione strutturata delle azioni di mitigazione associate a ciascun controllo, attraverso l’aggiornamento continuo dello stato di avanzamento e della pianificazione da parte della struttura responsabile del controllo Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  39. Livelli di reporting Approccio al reporting – 4 livelli di analisi “Normativa in una pagina” Fornisce una vista sintetica delle principali criticità/evidenze e delle azioni di mitigazione relative alla normativa in analisi A Normativa Diagnosticoper “Aree” Analizza le criticità e le azioni di mitigazione relative alle aree e ai principali topic/controlli B Analisi dettagli Overview per normativa Diagnostico per “Topic”-”Controlli”(allegato al report) C Analizza gli esiti degli indicatore di ciascun controllo “Focus su controlli chiave” D Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  40. Framework dei Controlli -Overview sulle Regole di Aggregazione Requirement (requisiti normativi) Normativa Area Topic Controlli C A B D MiFID Area1 Topic1 Requirement1 Controllo1 AML … … … … Transparenza … Regole 2 e 3 Regola 1 Regole di aggregazione “2” e “3” Regola di aggregazione “1” • Aggregazione delle evidenze qualitative dei controlli da “requirement” normativi a “topic” normativi e da “topic” ad “aree” normative • Metodologia “Risk Impact” • Aggregazione degli esiti di controlli per “requirement” normativi • Media pesata attraverso i differenti pesi assegnati a ciascun controllo Descrizione Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  41. Dai Controlli ai Requirement • I controlli vengono divisi in 3 gruppi, in funzione di 2 parametri: • “Reppresentatività”: capacità dell’indicatore di rappresentare gli elementi caratterizzanti il rischio delle anomalie individuate • “Significatività”: ampiezza del campione in termini di volume / elementi analizzati durante l’attività di controllo • A ciascuno dei 3 gruppi è assegnato un peso differente: • A = 2 volte B • B = 1 • C = 0,5 Significatività Reppresentatività Principali assunzioni • Sulla base dei risultati, ad ogni controllo è assegnato un colore (che rappresenta una stima della criticità) e un valore correlato (da 1 a 4), come mostrato nella tabella A • Il rating di ciascun requirement è la media pesata dei differenti valori assegnati a ciascun controllo • A ciascun requirement è assegnato un rating aggregato basato sulle fasce riportate in tabella B • Per ciascun controllo/rating vengono riportate una o più azioni di mitigazione Livello di criticità Tabella A Tabella B Il valore aggregato e le azioni di mitigazione vengono forniti al CAMP 2,1 = Arancione Example Azione Mitig.1 Azione Mitig.2 Azione Mitig.3 Azione Mitig.4 Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  42. Processo di reporting • Di seguito i principali step del processo di gestione degli esiti dei controlli n termini di: frequenzadi produzione della reportistica, regole di aggregazione degli esiti, validazione ed approvazione, gestione delle azioni di mitigazione, ruoli e responsabilità Macro-Fase Descrizione Owner 1.Estrazione delle evidenze dei controlli • Elaborazione mensile* dei risultati dei controlli, automatica (attraverso Memento) e/o in manuale (a cura dei team controlli di Compliance) • Carico a sistema degli esiti dei controlli (semiautomatico) • Control Analyst (componente team controlli) 2.“Arricchimento” evidenze controlli e calcolo dello score • “Arricchimento” delle informazioni a corredo di ciascun controllo: • calcolo automatico dello score sintetico (Critical Risk, Significant Risk, Medium Risk, Limited Risk) • modifica manuale dello score (eventuale) con relative annotazioni • gestione azioni di mitigazione • Control Analyst (componente team controlli) • Previsti 2 livelli successivi di convalida dei controlli: • “Validazione” dei controlli elaborati (esiti ed informazioni aggiuntive), finalizzata alla verifica dettagliata della completezza e correttezza delle informazione inserite nell’ambito di ciascun team che effettua i controlli • “Approvazione” finale e complessiva dei controlli (per ciascuna normativa) ed eventuali selezione dei controlli di particolare evidenza per la reportistica Responsabile team controlli Responsabile normativa/ network 3.Validazione e approvazione controlli 4.Calcolo dati aggregati e generazione report • Storicizzazione automatica delle evidenze dei controlli e delle informazioni a corredo • Aggregazione esiti e calcolo automatico degli score per requirement/ topic/ area/ normativa • Generazione reportistica mensile a video • Produzione report cartacei periodici (a supporto di Comitati e incontri periodici) • Local Control Coordinator Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  43. Agenda Basilea 2 e la gestione dei rischi A B Compliance Risk e la funzione Compliance C • Controlli di Compliance di secondo livello Casi di studio D Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  44. AML/Sanctions – Casi di studio Nell’agosto 2008 la branch italiana della svizzera Arner Bank viene commissariata dalla Banca d'Italia a seguito di un’ispezione che ha fatto emergere gravi irregolarità nel governo societario, negli assetti organizzativi, nel sistema dei controlli e nei processi gestionali, oltre alla particolare gravità a causa delle carenze delle violazioni riscontrate in materia di contrasto del riciclaggio, data l'impossibilità di accertare i beneficiari economici di alcune società che hanno conti presso la filiale. Lo scorso aprile 2010 Banca d'Italia ha imposto ad American Express Service Europa lo stop all'emissione di nuove carte di credito in Italia. Banca d'Italia ha segnalato, tra le altre, irregolarità e carenze rispetto alle disposizioni di contrasto al riciclaggio. In particolare, sarebbero stati riscontrati la mancata verifica e registrazione della clientela con particolare riferimento a clienti che hanno operato con banche di San Marino e del Vaticano, nonché l'utilizzo di nominativi di comodo. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  45. AML/Sanctions – Casi di studio Nel gennaio 2009 la banca britannica Lloyd Tsb ha ammesso di aver favorito transazioni finanziarie con l’Iran (più Libia e Sudan) per un ammontare di 300 milioni di dollari iraniani e 20 milioni di dollari sudanesi ed ha accettato di pagare una multa di 350 milioni di dollari. Le transazioni hanno permesso all’Iran di acquistare centrifughe nucleari e 30 mila tonnellate di tungsteno, materiale utile alla costruzione di missili. Nel dicembre 2009 Credit Suisse ha patteggiato con le autorità americane una multa di circa 536 milioni di dollari per evitare un procedimento giudiziario per violazione delle sanzioni all'Iran e altri paesi sotto embargo. Le autorità statunitensi hanno appurato che dipendenti di Credit Suisse hanno per anni alterato i dati delle transazioni riguardanti l'Iran o le sue banche. La prassi, chiamata in gergo "stripping", consisteva nel rimuovere dai dati qualsiasi riferimento all'Iran allo scopo di aggirare i filtri elettronici utilizzati dal governo americano per rilevare le operazioni con paesi sotto sanzione. Così facendo, banche iraniane quali Bank Saderat e Bank Melli hanno potuto usare Credit Suisse per completare operazioni da centinaia di milioni di dollari in violazione delle normative federali e di quelle dello Stato di New York. Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  46. Pubblicità - Fonti normative e Autorità Banca d’Italia - Testo Unico Bancario (TUB) - Istruzioni di vigilanza per le Banche – Banca d’Italia, Titolo X, Capitolo 1 AGCM - D. Lgs. 206/2005 – Codice del Consumo Isvap - D. Lgs. 209/2005 – Codice delle Assicurazioni - Circolare 533/D del 4/6/2004 Consob - TUF (Decreto legislativo 24 febbraio 1998, n. 58) - Regolamento emittenti Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  47. Banca Pop. Bari – Cartasì Choice La gratuità della carta è circoscritta unicamente al primo anno, mentre è estesa anche agli anni successivi al primo, a condizione che il cliente raggiunga un importo di spesa minimo annuo pari a 1.900 €. Informazioni non rispondenti al vero idonee ad indurre in errore il consumatore medio riguardo alle caratteristiche e al prezzo del prodotto pubblicizzato, in violazione dell’articolo 21, comma 1, lettera d), del Codice del Consumo e omette informazioni rilevanti in violazione dell’articolo 22, del Codice del Consumo. La Banca Popolare di Bari ha inviato ad alcuni clienti titolari di conto corrente, una comunicazione nella quale veniva prospettata, contrariamente al vero, la concessione della CartaSi Choice come “gratuita”. La comunicazione era, in particolare, caratterizzata dalle seguenti affermazioni «Gentile cliente siamo orgogliosi di informarla che Le abbiamo riservato la nuovissima Cartasì Choice (…) Per Lei Cartasì Choice è gratuita». 25 febbraio 2009 Sanzione amministrativa pecuniaria di 70.000 € 47 Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  48. Barclays Bank Plc – 5% netto La fruibilità del “5% Netto fino a 12 mesi” resta subordinata: a) alla sottoscrizione di un'operazione di PCT; b) alla contestuale apertura di un rapporto di conto corrente e di un rapporto di dossier titoli; c) alla effettuazione di un deposito minimo di 50.000 euro; d) alla sottoscrizione di un nuovo modulo d’ordine alla scadenza trimestrale dell’operazione e all’attivazione di un altro prodotto/servizio della Banca al sesto mese dalla sottoscrizione del primo PCT; e) alla qualifica di nuovo cliente del consumatore; f) all’adesione all’iniziativa entro il limite temporale del 31 dicembre 2008. Barclays ha diffuso sulle emittenti televisive (Rai 2, Rai 3, SKY), sulle emittenti radiofoniche (Rai 1, Rai 2, Rai 3, Radio DJ) e sui quotidiani (La Gazzetta dello Sport, Corriere della Sera, il Sole 24 Ore, il Resto del Carlino) messaggi pubblicitari volti a promuovere l’offerta di interessi bancari pari al 5% Netto sui risparmi. “E se ai tuoi interessi togliessero sempre una parte importante? Barclays, invece, è la banca che parla netto, il 5% netto, sui tuoi risparmi fino a 12 mesi. Da oggi parlare di lordo non sta più in piedi. Barclays netto, 800.106.106 o Barclays.it, messaggio pubblicitario, fogli informativi in filiale e su Barclays.it”. Pratica commerciale considerarsi scorretta ai sensi dell’art. 20, comma 2, del Codice del Consumo, nonché ingannevole ai sensi dell’art. 22 dello stesso Codice del Consumo. 16 aprile 2009 Sanzione amministrativa pecuniaria di 250.000 € Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  49. Banca di Sassari – Cont’è Gold Dal contratto di “home banking dispositivo”, si evince che i bonifici bancari su Banca di Sassari e su altre banche prevedono un costo, rispettivamente, di 0,80 euro e 1,10 euro. Non è stata garantita ai consumatori la possibilità di percepire in maniera compiuta e sufficientemente chiara la tipologia delle operazioni comprese nel canone annuale e presentate come gratuite. L’utilizzo della locuzione “gratis” o “gratuito” deve effettivamente corrispondere, per il consumatore, alla totale assenza di qualsivoglia onere. Banca di Sassari S.p.A. ha diffuso sul proprio sito internet un messaggio volto a promuovere il conto corrente “Cont’è gold” ad un canone annuale comprensivo, tra gli altri servizi, della possibilità per il consumatore di effettuare “operazioni gratuite illimitate”. “Completo e vantaggioso: Cont’è Gold ha un costo annuo fisso e vantaggioso che comprende tutti i servizi utili per operare al meglio con la Banca. Il canone di 84 euro l’anno include infatti, oltre ai servizi tradizionali, le carte di pagamento e le coperture assicurative, anche il servizio di Home Banking (line@bss) e di operatività telefonica (Infoline) per avere sempre la Banca a portata di mano. Cont’è gold, ti offre inoltre ottime condizioni per i servizi di credito. Potrai infatti avere un fido pari a due mensilità, se accrediti sul conto stipendio o pensione, ed uno sconto del 50% sull’istruttoria di mutui e prestiti personali. Se utilizzi i servizi di intermediazione in titoli avrai uno sconto del 50% sulle spese di gestione del dossier titoli”. La contrarietà alla diligenza professionale e l’idoneità a falsare il comportamento economico deriva dalla natura ingannevole del messaggio ai sensi dell’articolo 21, 22 e 23, lettera v), del Codice del Consumo. 1 luglio 2009 Sanzione amministrativa pecuniaria di 95.000 € 49 Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

  50. Che Banca! – Conti Tascabile e Deposito a) Rilevate omissioni informative (relativa alla tempistica degli addebiti in caso di utilizzo della carta come strumento di pagamento), nonché l’idoneità della presentazione complessiva del prodotto ad ingenerare l’errata convinzione che lo stesso possa svolgere le funzioni tipiche di una carta di credito. b) L’informativa sul vincolo temporale (dodici mesi) cui era subordinata l’applicazione del 4,70% di interesse era del tutto inadeguata, non espressa nel messaggio pubblicitario con sufficiente chiarezza, evidenza e visibilità. a) Il Conto Tascabile è stato presentato nelle pagine web come una “alternativa al conto corrente”, caratterizzato dalla emissione e consegna al sottoscrittore di una “carta personale multifunzione”. Di tale carta è detto che “offre i tipici servizi di un conto corrente […] di un bancomat e i vantaggi del circuito Mastercard”. b) Conto Deposito. CheBanca! nel febbraio 2009 ha diffuso, sulle principali emittenti televisive nazionali, uno spot pubblicitario nel quale il servizio veniva promosso prospettando la possibilità di fruire di interessi nella misura del 4,70%. Entrambe le pratiche commerciale sono da considerarsi scorrette ai sensi dell’art. 20, comma 2, del Codice del Consumo e omettono informazioni rilevanti in violazione dell’articolo 22, del Codice del Consumo. 16 settembre 2009 Sanzione amministrativa pecuniaria di 125.000 € 50 Master in Auditing e Controllo Interno nelle banche Pisa, 24 marzo 2012

More Related