la funzione di compliance e i modelli di governo – i ... · disposizioni di vigilanza in materia...
TRANSCRIPT
Torino, 25 settembre 2008
La Funzione di Compliance e i Modelli di Governo – i mpatti organizzativi
Anna Maria Capolongo
Barbara Stampalia
2
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Contenuti
Quadro normativo
Possibili soluzioni organizzative
Il processo di Compliance
Un possibile approccio progettuale
3
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
26 marzo 2008
Regolamento ISVAP n.20 - La funzione di compliance
Regolamento congiunto Banca d’Italia – Consob ai sensi dell’art. 6, co. 2-bis del TUF
“…le imprese si dotano di specifici presidi volti a prevenire il rischio di incorrere in sanzioni (...) o perdite
patrimoniali o danni di reputazione, in conseguenza di violazioni di Leggi …”
(art. 22)
29 febbraio 2008
29 ottobre 2007
1°gennaio 2009
4 marzo 2008
Disposizioni di Vigilanza BdI su governo societario e organizzazione banche
Funzione Compliance
Regolamento congiuntoBdI - Consob
Regolamento congiuntoBdI - Consob
“Gli intermediari adottano, applicano e mantengono funzioni permanenti,
efficaci e indipendenti di controllo di conformità alle norme …” (obbligo previsto dalla direttiva 2006/73/CE)
Disposizioni di Vigilanza –Regolamento ISVAP n. 20Disposizioni di Vigilanza –Regolamento ISVAP n. 20
“Le banche devono porre specifica cura nello strutturare forme di comunicazione e di scambio di informazioni complete, tempestive e accurate tra gli organi con funzioni di supervisione strategica, di
gestione e di controllo …”
Disposizioni di Vigilanza BdIGoverno societario
Disposizioni di Vigilanza BdIGoverno societario
Quadro normativo (1/6)
4
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Il Regolamento Congiunto Banca d’Italia - Consob
Il Regolamento congiunto Banca d’Italia –Consob pone particolare attenzione al controllo di conformità alle norme , volto a verificare l’osservanza del rispetto degli obblighi in materia di prestazione dei servizi
“Gli intermediari adottano, applicano e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e, se in linea con il principio di proporzionalità , di gestione del rischio dell’impresa e di audit interno”
Fermo restando l’obbligo (previsto dalla Direttiva 2006/73/CE) di istituire in ogni caso la Funzione di Compliance alle norme, èconsentita l’individuazione di un unico responsabile per lo svolgimento dell’attività di compliance e di gestione del rischio o di non istituire le funzioni di gestione del rischio e di audit interno
Per garantire la correttezza e l’indipendenza della Funzione di Compliance (e delle altre funzioni di controllo) il Regolamento precisa che:
� la funzione di Compliance debba disporre dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei compiti che le sono stati attribuiti
� i soggetti rilevanti che partecipano alla funzione di controllo non partecipino alla prestazione dei servizi che essi sono chiamati a co ntrollare
� sia separata dalle altre funzioni di controllo , sotto un profilo organizzativo
� il metodo per la determinazione della remunerazione dei soggetti rilevanti che partecipano alla funzione di controllo non ne comprometta l’obiettività
La banca può derogare ai suddetti requisiti, qualora dimostri che, “…in applicazione del principio di proporzionalità , gli obblighi in questione non sono proporzionati e che la Funzione di Compliance continui ad essere efficace”
Alla Funzione di Compliance spettano i seguenti compiti :
� controllare e valutare regolarmente l’adeguatezza e l’efficacia delle procedure volte a prevenire e individuare le ipotesi di mancata osservanza degli obblighi posti dalla Direttiva MiFID;
� fornire consulenza e assistenza ai soggetti rilevanti incaricati dei servizi ai fini dell’adempimento degli obblighi posti dal recepimento della Direttiva MiFID;
Nel caso in cui non vengano istituite le funzioni di gestione del rischio e di audit interno, la banca deve “…assicurare comunque l’efficacia delle attività di gestione del rischio e di audit, la cui responsabilità, in assenza di un responsabile della funzione, farebbe capo direttamente agli organi aziendali”
Quadro normativo (2/6)
5
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
� Il progetto di governo societario deve:
� illustrare le ragioni che rendono il modello prescelto il più idoneo;
� descrivere le specifiche scelte attinenti alla struttura organizzativa, ai diritti degli azionisti, alla struttura finanziaria e alle modalità di gestione dei conflitti di interesse;
� fornire, nel caso della Capogruppo, la rappresentazione e la motivazione delle modalità di raccordo tra organi e funzioni azi endali ;
� essere redatto ed inviato alla Banca d’Italia in fase di costituzione della banca;
� essere redatto da tutte le banche entro il 30 giugno 2009 ed aggiornato ogni qual volta vi siano modifiche organizzative di rilievo ed essere sottoposto, ove richiesto, alla Banca d’Italia.
� L’Organo con funzioni di controllo deve:
� vigilare sulla funzionalità del sistema dei controlli interni. A tal proposito riceve dalle strutture di controllo adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali ;
� partecipare alle decisioni riguardanti la nomina dei responsabili delle funzioni di controllo interno e la definizione degli elementi essenziali dell’architettura del sistema dei controlli;
� vigilare sull’adeguatezza del sistema di gestione e controllo dei rischi , a tal fine, esso deve avere una idonea conoscenza dei sistemi adottati dall’intermediario, del loro funzionamento, della loro capacità di coprire ogni aspetto dell’operatività aziendale.
Quadro normativo (3/6)
Disposizioni di vigilanza in materia di organizzazi one e governo societario delle banche (1/2)
� Sistemi di amministrazione e controllo e progetto di governo societario - Sulla base di un approfondito processo di autovalutazione le banche dovranno individuare il modello di amministrazione e controllo più idoneo ad assicurare l’efficienza della gestione e l’efficacia dei controlli.
� Compiti e poteri degli organi sociali -Compiti e poteri di amministrazione e di controllo devono essere ripartiti in modo chiaro ed equilibrato tra i diversi organi e all’interno di ciascuno di essi, evitando concentrazioni di potere che possano impedire una corretta dialettica interna
6
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
� Accertare ed assicurare l’idoneità degli esponenti a svolgere le proprie funzioni, sotto il profilo della professionalità, della disponibilità di tempo e dell’indipendenza
� I limiti al cumulo degli incarichi devono essere oggetto di specifiche previsioni dello statuto o di regolamenti interni
� Nell’organo con funzione di supervisione strategica devono essere presenti componenti indipendenti in numero adeguato
� La composizione degli organi, la nomina e la revoca dei relativi componenti devono essere disciplinate nello statuto in modo chiaro e trasparente
� Relativamente alla gestione dei flussi informativi, redazione di appositi regolamenti contenenti:
� Tempistica, forme e contenuti della documentazione da trasmettere ai singoli componenti degli organi, necessaria ai fini dell’adozione delle delibere sulle materie all’ordine del giorno; documentazione e verbalizzazione del processo decisionale; disponibilità ex post di detta documentazione; trasmissione delle delibere all’Autorità di Vigilanza;
� Individuazione dei soggetti tenuti a inviare , su base regolare, i flussi informativi agli organi aziendali ;
� Determinazione del contenuto minimo dei flussi info rmativi includendo il livello e l’andamento dell’esposizione della banca a tutte le tipologie di rischio rilevanti, gli eventuali scostamenti rispetto alle politiche approvate dall’organo di supervisione strategica, tipologie di operazioni innovative e i rispettivi rischi.
Quadro normativo (4/6)
� Composizione degli Organi Sociali - la suddivisione di compiti e responsabilitàall’interno degli organi aziendali deve essere coerente con il ruolo ad essi attribuito dal sistema di amministrazione e controllo prescelto. Il numero dei componenti degli organi sociali deve essere adeguato alle dimensioni e alla complessità dell’assetto organizzativo della banca.
� Flussi informativi - La circolazione di informazioni tra gli organi sociali e all’interno degli stessi rappresenta una condizione imprescindibile affinché siano effettivamente realizzati gli obiettivi di efficienza della gestione ed efficacia dei controlli.
Disposizioni di vigilanza in materia di organizzazi one e governo societario delle banche (2/2)
7
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
� Nell’identificazione e valutazione del rischio di non conformità alle norme , le imprese devono porre particolare attenzione al rispetto delle norme relative alla trasparenza ed alla correttezza dei comportamenti nei confronti degli assicurati e danneggiati, all’informativa precontrattuale e contrattuale, alla corretta esecuzione dei contratti, con particolare riferimento alla gestione dei sinistri e, più in generale, alla tutela del consumatore
� Il Regolamento prevede la costituzione di una specifica funzione di Complianc e, incaricata di verificare che l’organizzazione e le procedure aziendali siano adeguate a tali obiettivi, dettando alcuni principi per l’istituzione e l’operatività della funzione
� Alla funzione di Compliance deve essere garantita l’indipendenza , il libero accesso a tutte le attività dell’impresa ed a tutte le informazioni pertinenti , professionalitàe autorevolezza della funzione, nonché la separatezza dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze
� Il Regolamento prevede che le Compagnie di assicurazione , nella propria autonomia, organizzino la funzione di Compliance valutando se costruirla in una specifica unità organizzativa o se avvalersi di risorse appartenenti ad altre funzioni aziendali, ricondotte ad unitarietà attraverso l’individuazione di un unico responsabile della funzione
� In considerazione alle esigenze delle piccole imprese ed in applicazione del principio di proporzionalità , si prevede che, nel caso in cui l’istituzione di una specifica funzione di Compliance non risponda a criteri di economicità, le imprese possano esternalizzare tale funzione nel rispetto delle condizioni di cui al Capo VIII
� Le attività relative alla funzione di Compliance possono essere accentrate all’interno del gruppo assicurativo , attraverso la costituzione di un’unità specializzata
Quadro normativo (5/6)
Disposizioni di Vigilanza – Regolamento ISVAP n. 20 (1/2)
� Art. 23, comma 1, “Le imprese istituiscono una funzione di compliance , proporzionata alla natura, dimensione e complessità dell’attivitàsvolta, cui è affidato il compito di valutare che l’organizzazione e le procedure interne siano adeguate al raggiungimento degli obiettivi di cui all’articolo 22”
� Art. 23, comma 4, “La funzione di compliance deve possedere adeguati requisiti di indipendenza (…) e disporre delle risorse quantitativamente e professionalmente adeguate per lo svolgimento delle attività”
� Art. 23, comma 5, “Le imprese organizzano la funzione di compliance valutando se costituirla in forma di specifica unità organizzativa omediante il ricorso a risorse appartenenti ad altre unità aziendali …”
� Art. 23, comma 6, “…è garantita la separatezza della funzione di compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze ”
8
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Quadro normativo (6/6)
� Art. 29, “Le imprese possono concludere accordi di esternalizzazione a condizione che la natura e la quantitàdelle attività esternalizzate e le modalitàdella cessione non determinino lo svuotamento dell’attività dell’impresa cedente.”
� “Non può in ogni caso essere esternalizzata l’attività di assunzione dei rischi ”
� Art. 35, comma 1, “Nel caso di esternalizzazione di attività essenziali o importanti, le imprese ne danno preventiva comunicazione all’ISVAP , almeno quarantacinque giorni prima della esecuzione del contratto, comunicando i dati relativi all’attivitàceduta, al fornitore, alla durata dell’esternalizzazione e al luogo in cui si svolge l’attività esternalizzata...”
� Art 23, comma 7, “Il collegamento tra la funzione di compliance e le funzioni di revisione interna e di risk management èdefinito e formalizzato dall’organo amministrativo.”
� Il Capo VIII assume particolare rilievo, in quanto disciplina, per la prima volta in modo organico, l’esternalizzazione di attività e funzioni delle imprese di assicurazione
� Nel caso di esternalizzazione della funzione di Compliance , le imprese devono dare preventiva comunicazione all’ISVAP, allegando la bozza di contratto, a cui può essere data esecuzione trascorsi 60 giorni dalla ricezione
� L’ISVAP può imporre all’impresa di modificare il contratto di esternalizzazione, ovvero, nei casi più gravi, di recedere dal contratto
� L’esternalizzazione di funzioni non può in alcun modo esonerare gli organi sociali e l’alta direzione delle proprie responsabilità
� La Sezione II del Regolamento definisce gli obblighi di comunicazione nei confronti dell’ISVAP, diversificati a seconda che l’esternalizzazione riguardi:
� funzioni essenziali o importanti
� funzioni di revisione interna, di Risk Management e di Compliance
� altre attività
� L’organo amministrativo definisce e formalizza il collegamento tra la funzione di Compliance e le funzioni di Revisione Interna e di Risk Management
� Nell’istituire la funzione, comunque la si organizzi, deve essere pertanto garantita la separazione della funzione di Compliance dalle funzioni operative e dalle altre funzioni di controllo, attraverso la definizione espressa dei rispettivi ruoli e competenze
� La funzione di Compliance è comunque separata dalla funzione di Revisione Interna ed è sottoposta a verifica periodica da parte della stessa.
Disposizioni di Vigilanza – Regolamento ISVAP n. 20 (2/2)
9
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Contenuti
Quadro normativo
Possibili soluzioni organizzative
Il processo di Compliance
Un possibile approccio progettuale
10
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili soluzioni organizzativeIl sistema dei controlli
1
CONTROLLI DI LINEA
Consistono nelle verifiche svolte sia da chi mette in atto una determinata
attività, sia da chi ne ha la responsabilità di supervisione, generalmente nell’ambito della
stessa unità organizzativa o funzione
GESTIONE DEI RISCHI
E’ volta a individuare, misurare, controllare e
gestire tutti i rischi legati alle attività, ai processi e ai sistemi
dell’impresa in conformità con le
strategie e il profilo di rischio definiti dall’alta
dirigenza
CONTROLLI DI CONFORMITA’
Sono volti a verificare l’osservanza del
rispetto degli obblighi in materia di prestazione
dei servizi
CONTROLLO INTERNO
L’attività di audit interno è volta a valutare, in una prospettiva di terzo
livello, la completezza, la funzionalità e l’adeguatezza dei
sistemi e delle procedure, anche di controllo
FUNZIONE INTERNAL AUDIT
FUNZIONE DI RISK MANAGEMENT / COMPLIANCE
FUNZIONE DI LINEA
2 3
CONTROLLI DI PRIMO LIVELLO
CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLOCONTROLLI DI SECONDO LIVELLO CONTROLLI DI
TERZOLIVELLOCONTROLLI DI TERZOLIVELLO
11
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
DirezioneDirezione
Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea Funzione di LineaFunzione di Linea
CDACDA
Funzione ComplianceFunzione Compliance
Risk ManagementRisk Management
� Le funzioni di controllo devono essere indipendenti sia rispetto alle attività controllate, sia tra loro
� L’approvazione delle politiche di gestione del rischio di non conformità e l’istituzione della Funzione di Compliance sono di competenza esclusiva e non delegabile del CdA
� Il responsabile della Funzione Compliance è nominato e revocato dal CdA, sentito l’organo con funzioni di controllo
� Il responsabile della Funzione Compliance riferisce direttamente agli organi aziendali
Possibili soluzioni organizzativePosizionamento delle Funzioni di Controllo
Internal AuditInternal Audit
12
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili soluzioni organizzativeEsempi di modelli organizzativi
FU
NZ
ION
E C
OM
PLI
AN
CE
POSSIBILI SCENARI
ACCENTRATA• Le attività di conformità sono svolte da
personale inserito in una struttura organizzativa dedicata e gerarchicamente dipendente dal responsabile della Funzione Compliance
DECENTRATA• Le attività di conformità sono svolte da
personale inserito in strutture operative diverse e coordinate dal responsabile della Funzione Compliance
ESTERNALIZZATA• Le attività di conformità sono svolte da
personale inserito in una società esterna e coordinate dal responsabile della Funzione Compliance
DI GRUPPO• Le attività di conformità sono svolte dalla
Funzione di Compliance della Capogruppo e coordinate dal responsabile della medesima
Risorse DedicateRisorse Dedicate Risorse dedicateRisorse dedicate
Funzione ComplianceFunzione
Compliance
FunzioneOrganizzazione
FunzioneOrganizzazione
FunzioneLegale
FunzioneLegale
Funzione ComplianceFunzione
Compliance
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
RisorseSpecializzate
Responsabile Compliance
Responsabile Compliance
SpecialistiSpecialisti SpecialistiSpecialisti
SocietàEsternaSocietàEsterna
Società del Gruppo
Società del Gruppo
RisorsededicateRisorsededicate
RisorsededicateRisorsededicate
FunzioneComplianceFunzione
Compliance
CapogruppoCapogruppo
13
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili soluzioni organizzativeEsempio di flussi informativi tra le funzioni di controllo
INTERNAL AUDITCOMPLIANCERISK MANAGEMENT
� Esiti delle verifiche ispettive in loco e dei controlli a distanza sulle aree operative che presentino aspetti significativi in termini di compliance
� Esiti delle attività di follow-up per le verifiche sopra indicate
� Reclami della clientela che presentino aspetti legati alla compliance
� Invio della relazione periodica sul sistema dei controlli interni
Il contributo alla creazione di valore da parte della Funzione di Compliance risulterà tanto maggiore quanto più forti saranno le sinergie realizzate con gli altri attori del sistema dei controlliLa collaborazione tra tali funzioni consente di sviluppare metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale
� Contributo nella fase di aggiornamento e implementazione delle check-list adottate per lo svolgimento delle verifiche da parte della funzione internal audit
� Esiti delle verifiche ispettive condotte dalla Funzione Compliance
� Invio della relazione periodica nel quale è analizzato lo “stato di conformità” dell’organizzazione
�Invio del piano annuale di compliance
�Collaborazione per la messa a punto di metodologie unitarie per l’individuazione, misurazione, gestione e mitigazione dei rischi condivisi
� Invio della reportistica periodica di sintesi inerente le misurazioni effettuate da parte della Funzione Risk Management
14
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
L’esperienza di realtà di grandi dimensioni evidenzia la necessità di una gestione integrata delle informazioni e dei rischi, al fine di ridurre le problematiche legate alla c.d. “cacofonia informativa” all’alta direzione e all’organo amministrativo
Possibili soluzioni organizzativeUna eventuale evoluzione (1/3)
15
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili soluzioni organizzativeUna eventuale evoluzione (2/3)
CT2 - Metodologia unica di risk assessment
CT1 – Infrastruttura globale dei controlli
CT3 – Infrastruttura organizzativa
CT4 – Razionalizzazione delle azioni correttive
CT5 – Integrazione dei sistemi
CT6 – Reportistica integrata
16
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Possibili soluzioni organizzativeUna eventuale evoluzione (3/3)
17
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Contenuti
Quadro normativo
Possibili soluzioni organizzative
Il processo di Compliance
Un possibile approccio progettuale
18
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Processo di compliance
Il processo attraverso il quale la Funzione di Compliance verifica la coerenza delle procedure interne alle norme di eteroregolamentazione (leggi e regolamenti) e autoregolamentazione (codice etico, codice di condotta) può essere organizzato nei seguenti sottoprocessi
Valutazione impattonormativo
Indi
vidu
azio
ne
della
nor
mat
iva
Misurazione/Valutazione dei rischi su processi e procedure aziendali
Pianificazione interventiorganizzativi e
procedurali
Disegno del sistema di Reporting
Proposta di modifiche, definizione delle prioritàrelativamente ai gap individuati e predisposizione del milestone plan degli interventi
Sistema che includa verifiche da effettuare, traccia dei risultati delle stesse, misure adottate per rimediare a eventuali carenze, attività pianificate IM
PLE
ME
NT
AZ
ION
E
Controlli di efficacia di regole e procedure
operative
Def
iniz
ione
proc
edur
edi
ver
ifica Acquisizione e
risoluzione anomalie
Autocertificazione(self-assessment)
Notifiche di non compliance
agli Organi di Vertice
Controlli su procedureoperative
MO
NIT
OR
AG
GIO
Consulenza per progetti innovativi
Aggiornamento del sistema di gestione di non confor mità alle norme
Comunicazione e formazione sulla normativa
19
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Contenuti
Quadro normativo
Possibili soluzioni organizzative
Il processo di Compliance
Un possibile approccio progettuale
20
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Un possibile approccio progettuale Obiettivi
Definire un sistema di governo delle strutture organizzative, delle infrastrutture e delle applicazioni IT al fine di coordinare e monitorare la conformità dei processi operativi alle normative interne e alle regolamentazioni esterne, supportando le Funzioni Aziendali nell’allineamento alle diverse esigenze di compliance
Implementare il processo di Compliance tramite la definizione del perimetro normativo, l’individuazione dei gap nei processi as is e la pianificazione di interventi mirati alla risoluzione degli stessi
Definire gli aspetti organizzativi della Funzione di Compliance al fine di dotarla di adeguate policy e procedure e di definire i ruoli e le responsabilitàal suo interno e nei confronti delle altre funzioni aziendali
Sistemi informativi
Implementazione del processo
Governance
11
2 33
21
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Un possibile approccio progettualeMacroattività
Gov
erna
nce
Impl
emen
tazi
one
del
cam
biam
ento
Disegno del Processo Attribuzione dei ruoli e
delle responsabilità
Disegno del sistema di reporting
Definizione della Policy
L’individuazione delle macroattività da svolgere per il corretto Set Up della Funzione di Compliance è realizzata alla luce dei risultati della Gap Analysis effettuata sull’attuale status della stessa
Compliance Risk Analysis su “normativa pilota”
preventivamente individuata
Piano delle azioni correttive su “normativa
pilota”Inventario della
normativaLinee guida per il
funzionamento del Processo di Compliance
L’approccio sopra delineato parte dal presupposto che sia stato definito il posizionamento organizzativo e gerarchico della Funzione di Compliance e si sia provveduto alla nomina del suo Responsabile
2 3 41
65 8
7
22
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Un possibile approccio progettualeCantiere Governance
• Template reporting − interno alla Funzione di
Compliance− per l’Alta Direzione
Disegno del processo − Formalizzazione del processo di compliance e dei relativi sottoprocessi− Implementazione del processo e dei relativi sottoprocessi− Formalizzazione delle procedure operative della Funzione di
Compliance− Formalizzazione di procedure di revisione periodica
Attribuzione dei ruoli e delle responsabilità
– Definizione e formalizzazione di ruoli e responsabilità
– Definizione e formalizzazione delle interrelazioni
– Definizione e formalizzazione del mansionario della funzione
Disegno del sistema di reporting in termini di:
−Destinatari−Periodicità−Contenuti
• Policy di gestione del rischio di non conformità
• Charter Funzione di Compliance− Ruoli e responsabilità− Mansionario
Atti
vità
Del
iver
able
2 3 4
Definizione di una policy di gestione del rischio di non conformità ai requisiti normativi, sia in ambito Business che in ambito IT
1
• Modello concettuale del processo di compliance e relativi sottoprocessi
• Procedure operative della funzione di Compliance
A
A
B
B
C
D
C
D
• Template reporting − verso le altre funzioni di
controllo (Risk Management, Internal Audit)
E
E
23
© 2008 Protiviti S.r.l. ConfidenzialeQuesto documento è destinato esclusivamente ad uso interno della Vostra Società e non può essere riprodotto né distribuito a terze parti senza la nostra autorizzazione.
Un possibile approccio progettualeCantiere Implementazione della fase cambiamento
Compliance Risk Analysis su una normativa pilota
− Identificazione della normativa pilota− Individuazione dei processi
compliance sensitive− Mappatura dei requisiti chiave sui
singoli processi in esame e sui sistemi informativi impattati
− Condivisione della mappatura con il GdL
− Analisi della situazione AS IS − Individuazione dei gap
Corrective Action Plan su una normativa pilota
−Definizione di un master plan degli interventi per la risoluzione dei gap individuati
• Definizione e formalizzazione del perimetro normativo
• Mappa dei requisiti chiave sul modello dei rischi del Gruppo
• Master plan implementativo
6
Legal Inventory − Definizione del
perimetro− Analisi del
contesto normativo
− Individuazione dei requisiti chiave da rispettare
5
• Mappatura dei requisiti sui processi
• Individuazione degli eventuali Gap regolamentari
F
H
F G H
Definizione e formalizzazione delle linee guida per la fase di Funzionamento del Processo di Compliance
8
7
I
I• Linee guida per il
funzionamento
G
Atti
vità
Del
iver
able
Individuazione e razionalizzazione delle sovrapposizioni
−Determinazione del set di informazioni provenienti dalle funzioni Risk Management e Internal Audit al fine di individuare e razionalizzare eventuali aree di sovrapposizione
9
• Overlap analysisL
• Documento di razionalizzazione dei flussi informativi
M
L
M