Secondo la definizione data nel 2007 dalla Banca d’Italia, il rischio di non conformità può essere definito come il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). A nostro avviso, conviene considerare il rischio di conformità come un caso particolare di rischio operativo (a meno degli aspetti reputazionali). Fatta questa premessa, in questo articolo analizziamo brevemente quali sono i compiti principali di un compliance manager e come la tecnologia messa a punto per la gestione dei rischi operativi possa essere utilizzata anche per il rischio di conformità.
Per affrontare efficacemente i vari aspetti legati alla conformità è utile avere una visione unitaria che costruiamo mediante un semplice modello concettuale diviso in tre parti: il mondo delle norme, dei processi e dei controlli.
Le norme – Possiamo pensare una norma come un testo strutturato in parti (ad esempio capi, articoli, commi). In alcune parti sono definite le prescrizioni (adempimenti) e le sanzioni. Le varie norme sono raccolte e classificate. Questo insieme di norme e relazioni costituisce ciò che viene chiamato inventario normativo o legal inventory.
I processi – Ogni adempimento di una norma, regola alcuni processi operativi della banca (i processi sono insiemi di attività coordinate e finalizzate ad un obiettivo). Per ragionare sui processi è necessario disporre di un modello che li classifichi e li descriva. Esistono vari modi per rappresentare i processi, dal semplice raggruppamento di attività con uno scopo, all’utilizzo di una notazione apposita.
I controlli – Infine, occorre un modo per catalogare e specificare i controlli. Possiamo pensare ai controlli come a strumenti di mitigazione del rischio che agiscono abbassando la probabilità di accadimento di certi eventi.
I modelli sono strettamente correlati: un adempimento regola una certa attività di un processo e per assicurarsi che tale adempimento venga rispettato ci sono dei controlli (vedi figura 1)
Figura 1: Modello concettuale che consente di avere una visione unitaria efficace per affrontare tutti gli aspetti legati alla conformità normativa. Fonte: Sdg Italy
(Cliccare sull’immagine per ingrandirla)
Funzione compliance: i compiti
Uno dei compiti principali del compliance manager, oltre alla valutazione e gestione rischio, è la costruzione dell’inventario normativo, la valutazione dell’impatto sui processi e l’integrazione con il sistema dei controlli interni. Queste attività hanno lo scopo di dare una risposta a queste domande: Quali sono e che cosa prevedono le norme che regolano l’attività della banca? Dove vengono espletati gli adempimenti di una norma? Chi svolge queste attività? Quali sono i controlli per verificare che queste attività sono svolte al meglio? In cosa consistono, con quale frequenza si svolgono, e chi se ne occupa?
Un inventario normativo deve possedere delle funzionalità che permettano di: inserire in un database i testi delle norme in maniera strutturata per evidenziare adempimenti e sanzioni; creare delle classificazioni personalizzate con relazioni esplicite o tag; indicare le relazioni con altre norme; ricercare una norma secondo qualche criterio ed in modo full text; indicare le relazioni con i processi della banca; indicare i controlli posti a verifica del rispetto di una norma e in quale parte del processo intervengono.
La parte più impegnativa del lavoro (oltre che tenersi aggiornati sulle nuove disposizioni dalle varie fonti normative) è creare una classificazione coerente.
La costruzione di un inventario normativo è affrontata in diversi modi, uno di questi è quello del progetto Nir (www.nir.it) un consorzio formato dal Cnipa con alcuni enti pubblici ed università. Nir si basa su documenti Xml e applicativi open source per elaborare questi documenti. L’obiettivo è definire degli standard e strumenti che permettano alle pubbliche amministrazioni di rappresentare ed elaborare meccanicamente (soprattutto ricercare e mettere in relazione) tutte le norme le leggi ed i decreti vigenti.
Il limite del progetto Nir per l’ambiente bancario è rappresentato dalla completa mancanza di relazioni con un modello dei processi e dei controlli. Inoltre l’ambito è talmente generale che rende la struttura del documento Xml sottostante abbastanza complessa.
Un approccio più mirato è quello dell’Abi (www.abics.it). L’ambito è ristretto alle esigenze di compliance delle banche. Il sistema di legal inventory è offerto come servizio on line. Ciò da un lato semplifica il lavoro di selezione e costruzione dell’inventario normativo (si occupa l’Abi di tenerlo aggiornato), dall’altro pone diverse limitazioni al modello dei processi che è fissato a priori e al quale la banca cliente deve conformarsi, inoltre manca di un modello dei controlli e tutto rimane slegato da ciò che riguarda la gestione del rischio.
Esistono sul mercato anche prodotti pensati per la gestione del rischio operativo o più genericamente a supporto della governance risk and compliance che integrano tra loro gli strumenti di inventario normativo, modello dei processi e dei controlli. Questi sono da preferire per l’ovvio motivo che consentono di incrociare i dati in maniera coerente.
Valutazione del rischio
La valutazione del rischio ha lo scopo di rispondere a queste domande: Quali sono e a quanto ammontano le perdite subite a causa di non conformità? Sono ristrette ad una particolare classe di norme? Si verificano sempre in qualche unità operativa particolare? Quanto sono efficaci i controlli? Quale è la percezione del rischio compliance dei responsabili? Quali sono i processi da rivedere?
La valutazione del rischio compliance ex post deve prevedere un sistema di raccolta delle perdite operative dove specificare, tra i dati dell’evento di perdita, anche la norma e l’adempimento disatteso. Se l’inventario normativo è ben strutturato ed integrato in un sistema di gestione del rischio, indicando il processo e l’attività, l’elenco degli adempimenti relativi dovrebbe essere automatico, come si vede nell’esempio della figura 2, dove la registrazione di una perdita per non conformità è agevolata da questo collegamento.
Figura 2: Esempio di inventario normativo strutturato ed integrato in un sistema di gestione del rischio: indicando il processo e l’attività, l’elenco degli adempimenti relativi avviene in modo automatico. Fonte: Sdg Italy.
(Cliccare sull’immagine per ingrandirla)
Con una base dati di perdite operative integrata all’inventario normativo, al modello dei processi e dei controlli, si possono analizzare le perdite per norma o classe, per processo/attività e verificare ex post la qualità dei controlli. Il solo fatto di avere uno strumento che permette di associare adempimenti a processi rende immediatamente visibile tutto ciò che “rimane scoperto”, cioè la possibilità che alcune norme restino inapplicate per mancanze procedurali, inoltre consente di definire meglio gli impatti dei cambiamenti procedurali dovuti al recepimento di una nuova normativa.
In mancanza di dati di perdita, la valutazione del rischio compliance si può fare, in modo analogo a quanto accade per il rischio operativo, sottoponendo alla valutazione di esperti alcuni scenari di perdita.
È possibile utilizzare anche dei key risk indicator (Kri) tematici per il rischio compliance. Questi sono variabili finanziarie o operative che possono evidenziare il rischio insito in un sistema complesso, in questo caso la banca.
Un sistema di gestione dei Kri, di solito presente nelle applicazioni per la gestione del rischio operativo, facilita la raccolta e la presentazione dei dati. Diversamente si possono costruire delle semplici scorecard con fogli elettronici. Alcuni esempi di indicatori compliance sono: numero estinzioni rapporto per cause legate alla trasparenza/totale estinzioni; numero operazioni non adeguate/totale ordini investimento; perdite operative per norma/margine di intermediazione; numero investigazioni aperte da autorità esterne; numero cause legali intentate da clienti.
Aspetti reputazionali
Nella definizione di rischio di conformità esiste anche l’aspetto legato al danno reputazionale.
È vero che la maggior parte della perdita di reputazione è conseguenza di eventi operativi e che ci si può concentrare sui primi per prevenire i secondi, però esistono anche degli strumenti che aiutano a controllare la percezione dell’immagine della banca sui media.
Si tratta di particolari motori di ricerca (detti motori di esplorazione semantica) in grado di navigare siti ufficiali, blog, forum, quotidiani nazionali e locali riconoscendo gli argomenti e interpretando i contenuti reputazionali.
Conclusioni
Nell’introduzione della funzione di conformità si dovrà affrontare anche tutta la questione organizzativa: se prendete un qualsiasi testo dedicato alla compliance in banca noterete come due terzi delle pagine sono dedicate a questioni puramente organizzative e questo perché il compliance manager estende le sue funzioni in sovrapposizione di ruoli con le aree legale, organizzazione, audit e risk management.
Occorre essere pragmatici. Considerare la gestione della compliance come un caso particolare di rischio operativo permette l’utilizzo di tutti gli strumenti e concetti che dovrebbero essere già stati messi a punto in ottemperanza alla normativa di Basilea 2.
*Ivan Maffioli è partner di Sdg Italia, società specializzata nella gestione dei Rischi Operativi per le banche – imaffioli@sdgitaly.it
