Articolo a cura di Dr.ssa Greta Shullazi, Internal Auditor & Project Management. Specializzata in Studi Europei, Anticorruzione e Trasparenza. Esperta nella progettazione e l’implementazione di MOG (ex Dlgs. 231/01)
Diverse definizioni di compliance
La definizione della funzione di Compliance varia ampiamente in diverse parti del mondo.
Una definizione ristretta della conformità comprende le misure necessarie per garantire conformità a leggi, nonché il rispetto dei regolamenti e degli standard delle autorità di vigilanza.
Oltre alle leggi e ai regolamenti esterni, una definizione più ampia di Compliance comprende anche il rispetto di standard di settore non vincolanti e altri standard di etica aziendale, nonché azioni volte a minimizzare il rischio reputazionale.
In senso lato, la funzione di Compliance vigila anche sul rispetto di tutti i regolamenti interni, controlli, procedure, regole di accesso al sistema, in funzioni come il trading, contabilità, back office, IT, e assicura la necessaria separazione funzionale dei ruoli e delle responsabilità.
Da diversi studi sono identificati due tipi di rischio: rischio “positivo” e “negativo”
Obblighi prescritti da enti governativi connesse all’adempimento di particolari compiti e direttive comportano rischi negativi intrinseci per gli istituti finanziari, poiché l’adempimento di tali obblighi e responsabilità genera costi senza produrne valore aggiunto diretto percepibile per l’istituzione.
Tuttavia, il mancato rispetto di tali disposizioni legislative che sono molto utili da un punto di vista macroeconomico, possono portare all’imposizione di severe sanzioni, in alcuni casi.
Pertanto, l’incentivo principale per un’azienda a soddisfare questi requisiti non è per creare valore, ma per preservare il valore dell’azienda.
Al contrario, i rischi positivi (opportunità) derivano dalle scelte di business dell’azienda finalizzate alla potenziale generazione di valore aggiunto. Per garantire l’effettivo sviluppo di nuovi processi o l’individuazione di processi comuni, questi due gruppi di rischio si devono distinguere e trattare separatamente in materia di compliance e rischio di gestione.
Vantaggi di un nuovo approccio della compliance integrata
La necessità di una Compliance integrata è divenuta ormai imprescindibile per le aziende.
Il rischio non può mai essere completamente eliminato. Perché lo scopo è realizzare un profitto, i rischi devono essere assunti consapevolmente per un prezzo adeguato. Per determinare questo prezzo, tuttavia, l’azienda deve conoscere i rischi rilevanti, a tal fine richiede le informazioni più complete possibili, sia nella gestione dei rischi che in conformità.
Come dovrebbero essere definiti i compiti della Compliance “moderna”?
Secondo l’attuale definizione ristretta il compito della Compliance è quello di evitare una cattiva condotta normativa e le relative conseguenze legali. Alcune disposizioni regolamentari legali prescrivono un quadro relativamente rigido per l’attuazione (come la prevenzione di riciclaggio di denaro sporco, notifiche di prestiti di grandi dimensioni, ecc.).
Tuttavia, molte normative lasciano un margine di manovra sufficiente nella progettazione di un rischio appropriato del sistema di gestione per i dati di istituzione.
Dato questi fatti, le funzioni di gestione del rischio e di conformità dovrebbero essere strettamente integrate al fine di sfruttare sinergie esistenti.
Il ritardo tra le innovazioni di prodotto si riduce costantemente, costringendo sia la gestione della conformità che la gestione del rischio a cambiare e ad adattarsi continuamente.
Queste funzioni sono necessarie non solo per monitorare rischi noti, ma anche per affrontare costantemente nuovi rischi.
Pertanto, la definizione e la comunicazione completa di tutti i rischi a cui è esposta un’organizzazione devono essere definite come una priorità chiave per il chief risk officer e applicate in tutta l’organizzazione. In molte aziende, tuttavia, la gestione del rischio a livello aziendale è in stato di costante sviluppo.
Compliance integrata e gestione dei rischi come approccio per il futuro.
Un approccio efficiente alla compliance e alla gestione del rischio inizia con una struttura organizzativa migliorata che collega tutte le attività di conformità in tutte le unità aziendali ed elimina le ridondanze attraverso servizi condivisi.
Un tale approccio inizia con una chiara comprensione delle attività di conformità, compreso l’ambiente in cui vengono condotti e porta a un solido piano di ristrutturazione per l’organizzazione della Compliance.
Basato su tale piano, le attività di Compliance vengono quindi riorientate e razionalizzate, in particolare attraverso la riorganizzazione di funzioni, programmi, processi e infrastrutture.
Centro di eccellenza per la conformità e i rischi
Il modello operativo risk-intelligence propone lo sviluppo di un “centro di eccellenza” composto da specialisti che forniscono supporto alla Compliance e alle singole business unit.
L’uso di un insieme coerente degli indicatori chiave consente un approccio uniforme al controllo (processi di controllo) e reporting. Quindi, la conformità e i controlli di gestione possono essere valutati sulla base di uno standard uniforme a livello di organizzazione, in sostituzione di diversi standard individuali.
Elementi simili di gestione della conformità sono raggruppati all’interno di servizi condivisi centrali. Questi elementi sono uniformemente messi a disposizione delle unità di business attraverso interfacce.
Le attività ridondanti e non necessarie vengono ridotte (se non eliminate) e, di conseguenza, i costi sono ridotti principalmente grazie all’applicazione di uno standard uniforme.
Grazie alla conseguente razionalizzazione dei processi e priorità chiare, l’infrastruttura tecnologica può essere adattata in modo molto più efficace per soddisfare le esigenze poste sulla funzione di Compliance.
L’organizzazione può automatizzare le attività manuali ed eliminare le applicazioni ridondanti, riducendo così i costi di struttura e tanti altri costi importanti per le aziende.