Compliance adattativa 2.0
La trasformazione del mondo bancario oggi assume connotati particolari in quanto apre spazi a competitori che normalmente erano molto lontani dal perimetro bancario classico, quali ad esempio Amazon e Paypal, che fortemente destabilizzano le normali regole del “Fare Banca”.
E’ pertanto fondamentale guadagnare competitività rendendo al massimo efficace il sistema dei controlli: il nuovo modello di compliance adattativa 2.0 di Faletti sembra riuscire a farlo. Nel contempo il mondo bancario sta subendo una importante trasformazione dovuta all’ingresso delle banche on line. Il modello bancario sta orientandosi sempre di più verso il modello chiamato Banca O2O. Figura 1 – la banca O2O Questo nuovo modello di banca ha tre tipologie di impatto che scardinano il modello di banca tradizionale:
- L’estrema velocità caratterizzata dall’uso continuo di tecnologia, velocità che si ritrova sia nella transazione al cliente che nell’adeguamento dei sistemi alle novità introdotte sul mercato (mero esempio se viene aggiornato un sistema operativo tutte le app della banca devono funzionare immediatamente anche sull’aggiornamento).
- La volatilità della consapevolezza delle abitudini del cliente e la sua stessa effimera conoscenza nel senso di preferenze e di interazione, che ormai avviene solo on line (i conti aperti on line creano il paradosso che la banca nuova non vede mai il suo cliente).
- La difficoltà di mantenere il livello dei controlli coerente con il transato banca, anche in considerazione del fatto che le modifiche sui processi sono quotidiane.
Occorre notare che il nuovo modello di banca si scontra anche con un mercato cambiato in cui una grossa fetta dell’operatività bancaria è ormai in mano a competitors differenti. Figura 2 – il nuovo scenario bancario La perdita del sistema di pagamento ed incasso e delle carte di credito elimina molto della capacità delle banche di remunerare le operazioni e quindi sostenere i costi, muovendole verso sistemi di gestione del risparmio (reti di promotori) in cui è possibile operare up front commissionali significativi. Tutto questo rende le banche più esposte a rischi e soprattutto le pone in un mercato aperto (quello on line) dove è molto probabile perdere di vista il flusso generato dal trinomio cliente, promotore, operazione, assumendo più rischi di quelli attesi. In questo contesto si delinea una maggiore complessità legata al modello del sistema dei controlli interni (SCI) che lega l’operatività quotidiana della banca con le necessità di controllo e di compliance richieste dalla normativa. Non da ultimo appare che un legame tra business e controlli diviene ora, se mal gestito, strumento di limitazione e di perdita di quote di mercato. Figura 3 – il processo dei controlli interni In effetti i tre mondi in cui ora si gioca la partita dei controlli sono clienti, promotori e processi. In questo nuovo contesto quella che prima era la variabile Tempo ora diviene importante parametro di settaggio del sistema dei controlli in quanto la velocità delle informazioni può fare la differenza fra l’individuazione di una frode e la sua attuazione. Nel meccanismo individuato il sistema dei controlli interni cambia diventando uno strumento di pre-analisi deduttiva invece che un sistema di verifica ex post. Figura 4 – il nuovo SCI Per il nuovo sistema dei controlli interni clienti e promotori viaggiano sullo stesso piano perché sono figure che muovono i processi intervenendo su di essi, mentre processi e normativa devono adeguarsi anche alle mutate operatività dei clienti. È talmente vero suddetto accadimento che oggi le banche per presidiare correttamente questi segmenti creano uffici ad hoc nelle funzioni di controllo per poter seguire i rischi legati a ciascun segmento. Secondo l’indagine di Thomson Reuters solo il 20% delle istituzioni finanziarie europee ha avviato efficaci progetti di adeguamento al cambiamento delle regole, lasciando prevedere un netto divario fra le istituzioni in cui sarà palese la ricerca di player con soluzioni chiavi in mano ma modulari.
La compliance oggi Nelle banche, negli intermediari finanziari e nel comparto assicurativo, la funzione di compliance è chiamata a svolgere un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla regolamentazione prudenziale (Basilea II, Solvency II); la compliance ha infatti un’ottica prevalentemente preventiva nel presidiare rischi di carattere legale e reputazionale
- Banche, intermediari che offrono servizi di investimento ed assicurazioni devono obbligatoriamente istituire una funzione di compliance secondo le indicazioni fornite rispettivamente da:
- Banca d’Italia il 12 luglio 2007 nelle “Disposizioni di Vigilanza – La funzione di conformità (compliance)”;
- CONSOB (congiuntamente a Banca d’Italia) il 29 ottobre 2007 nel “Regolamento in materia di organizzazione e procedure degli intermediari che prestano servizi di investimento o di gestione collettiva del risparmio”;
- ISVAP il 26 marzo 2008 nel “Regolamento N. 20 recante disposizioni in materia di controlli interni, gestione dei rischi, compliance (…)”.
Tali normative di vigilanza recepiscono i principi guida sulla materia pubblicati nel 2005 dal Comitato di Basilea. Molte aziende facenti parti di gruppi multinazionali specie se quotate in borsa, pur non essendo tenute a norma di legge, istituiscono una funzione di Compliance. La funzione di conformità si inserisce nel più ampio sistema dei controlli interni ed in particolare nell’ambito delle funzioni di controllo sulla gestione dei rischi. Nelle banche la Compliance è una funzione di controllo di “secondo livello” ed ha l’obiettivo di “concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, di individuare idonee procedure per la prevenzione dei rischi rilevati e di richiederne l’adozione. Il ruolo descritto differenzia sostanzialmente la funzione di conformità da quella di revisione interna (cfr. Titolo IV – Capitolo 11 – Sezione II – Par. 1 delle Istruzioni di Vigilanza)”. L’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte dell’Internal Audit o revisione interna (che nelle banche è una funzione di controllo di terzo livello); di conseguenza, per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna. Figura 5 – i livelli di controllo In ambito bancario “in via generale, le norme più rilevanti ai fini del rischio di non conformità sono quelle che riguardano l’esercizio dell’attività di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti del cliente e, più in generale, la disciplina posta a tutela del consumatore”.
- Antiriciclaggio e contrasto del finanziamento del terrorismo
- Lgs. 231/01 sulla “responsabilità amministrativa delle persone giuridiche”
- Privacy e protezione dei dati personali
- Lgs 141/10 e Codice del Consumo
- Security – sicurezza informatica
- Safety – d. lgs. 81/2008 sulla “sicurezza sul posto di lavoro”
- legge 28 dicembre 2005, n. 262, “Disposizioni per la tutela del risparmio e la disciplina dei mercati finanziari”.
Di conseguenza oltre le normative “generali” la funzione di Compliance in banca si occupa anche di:
- Trasparenza dei Servizi Bancari
- Normativa di contrasto all’Usura
- MiFID- Markets in Financial Instruments Directive (Direttiva sui mercati degli strumenti finanziari)
- PSD – Payment Services Directive (Direttiva sui servizi di pagamento)
- Business Continuity o continuità del servizio.
La compliance adattativa 2.0 Oggi serve un nuovo modello di compliance che si adatti alle esigenze evidenziate portando il sistema dei controlli verso un nuovo meccanismo ove il tempo sia il più possibile un elemento di raccordo con tutte le operatività necessarie. Figura 6 – il plurimodello In questo modello, che è in realtà un plurimodello perché integra una serie di sotto modelli logici che ne fanno un modello matrice, girano in grande sintonia e con una visione a 360 gradi una serie di interventi di controllo e di formazione che non possono ormai essere disgiunti. In questa visione la Compliance non è più una funzione super partes, ma diviene motore evolutivo del business, affiancandolo e diventandone una ala stabilizzatrice. Figura 7 – il flusso del nuovo SCI Il nuovo modello di compliance pertanto deve riassumere tutte le funzioni di un efficace BPM collegato ad un ottimo motore di analisi dati, integrando tecnologia e modello concettuale del sistema dei controlli interni in una unica rappresentazione. Il concetto di tempo zero La novità assoluta introdotta è il concetto di tempo zero, ovvero adattare la compliance ai sistemi on line in cui non v’è nessun tipo di overlay. È infatti cruciale oggi che le figure preposte al controllo possano vedere la situazione del profilo di rischio in tempo reale (o quasi). Affinché sia operativo il concetto di tempo Zero il nuovo sistema contiene un motore logico aggiornabile, una significativa capacità di agganciarsi a qualsiasi fonte dati interna – esterna, un potente PBM facilmente configurabile, un buon motore di reporting e una dettagliata gestione dei permessi utente. Il sistema prevede anche una particolare capacità di automazione verso altri processi per poter verificare on line eventuali anomalie segnalate (ad esempio: se un cliente opera sulla procedura bonifici in modo anomalo andare a verificare immediatamente se il destinatario di quei bonifici è nelle black list o è lo stesso usato da qualche promotore). Figura 8 – modello di compliance adattativa 2.0 In pratica un buon motore di input in grado di ricevere informazioni da qualsiasi fonte ed in qualsiasi formato, un motore di BPM interno che operi sui principali processi di controllo, una interfaccia in grado di interagire con altri applicativi ed un sistema di output funzionale sia al reporting che alla visualizzazione on line. Il sistema è in grado di ragionare a Tempo Zero, ovviamente questo dipende anche dal motore di input collegato a CA 2.0. Il modello concettuale dei controlli integrato in CA 2.0 contiene un motore funzionale e quattro punti cardinali di interazione:
- Input – con la possibilità di interfacciarsi a qualsiasi fonte dati
- Output – con un alto livello di personalizzazione dei report
- Metrics – un riferimento tabellare a normative esterne
- Interact – interagire con procedure esterne in caso di anomalie
Come calcolare l’EVA della Compliance Se è quindi possibile arrivare alla costruzione di un modello di compliance 2.0 cosi come ipotizzato, allora è possibile individuare i modelli di calcolo dell’Eva della compliance. Negli ultimi anni l’attenzione dei professionisti e degli studiosi si è progressivamente spostata dal problema della valutazione al problema della verifica della creazione del valore non solo per le aziende ma anche per i singoli rami operativi all’interno dell’azienda stessa. Si ritiene infatti che le variazioni di valore intervenute per un’impresa siano la miglior espressione dell’effettiva performance economica di una società. Il principio su cui si fonda l’EVA (Economic Value Added) è molto simile a quello adottato dai criteri di valutazione classici di tipo misto: il punto di partenza è il capitale investito all’interno di una certa società o ramo d’azienda, ma anche struttura operativa; moltiplicando questo capitale per il costo del capitale stesso si ottiene un livello di reddito minimo atteso, appena sufficiente a remunerare gli investitori senza quindi lasciare alcun valore aggiunto all’interno della società. Sottraendo dal livello di reddito effettivamente realizzato la soglia di reddito minima appena definita si ottiene l’EVA misurato sul segmento di interesse. Il metodo di valutazione dell’EVA indica dunque la quantità di valore creato dall’impresa nel corso dell’anno, valore che conseguentemente dovrebbe riflettersi nel valore di mercato della stessa. L’Eva può essere considerato un indicatore di performance aziendale. Infatti per la massimizzazione del valore è necessario che il management dell’azienda sia in grado di effettuare con cognizione di causa scelte strategiche quali, ad esempio la decisione se intraprendere o meno una strategia di espansione o diversificazione del proprio business tramite la realizzazione o il change di prodotti. L’obiettivo del management deve essere quello di massimizzare il valore di mercato di un’azienda. E’ necessario però confrontare il valore di mercato dell’azienda con il valore del capitale investito nell’azienda. La differenza può essere definita come “valore creato”, o “valore di mercato aggiunto”. Quindi: EV= MVA + CI Ovvero il valore di un’azienda (EV, Enterprise value) è uguale al Capitale Investito (CI) nell’azienda stessa, più il valore aggiunto che l’azienda stessa è riuscita a creare. In questo senso EVA (come misura del “valore creato” nell’anno) può essere utilizzato come uno strumento di valutazione dell’operato del management. Uno strumento che fa coincidere gli interessi del management a quelli dell’azionista: infatti il management, premiato in base al valore aggiunto creato, è stimolato ad accrescere anno per anno l’ EVA e quindi il MVA (MVA=valore attuale di tutti I futuri EVA). Inevitabile quindi che la compliance 2.0 abbia un forte impatto sul calcolo del valore aziendale e possa essa stessa essere fonte di valore. Inutile dire che il calcolo dell’EVA in un modello di compliance prende come base di partenza il capitale assorbito dal modello stesso rapportato ai singoli assorbimenti di capitale dei profili di rischio identificati ed osservati. E’ pertanto fondamentale ottenere un corretto monitoraggio dei rischi e degli indicatori di rischio, ponendo come base di analisi non una osservazione ex post, ma una serie di trend che permettano di ottenere dei valori previsionali di rischio. Per fare questo il modello di compliance 2.0 deve considerare gli indicatori come progressioni del rischio e non come segnalatori di evenienze. A questo punto è possibile calcolare il coefficiente ß per un corretto calcolo del CAPM. Il modello Faletti permette quindi di allineare il costo della Compliance al valore generato dal contenimento del rischio sia in fase operativa ma anche in fase di definizione di prodotti / processi.
Corrado Faletti è il Direttore responsabile di Betapress e ha contribuito a definire la prima struttura di compliance nel mondo bancario nel 2004; da allora si occupa di analisi di rischio e sistemi di controllo. Nel 2010 ha realizzato il sistema di AUDIT dei Fondi Europei per il Ministero dell’Istruzione, Università e Ricerca.
Lasciare un commento
Per commentare registrati al sito in alto a destra di questa pagina
Se non sei registrato puoi farlo qui
Sostieni la Fondazione AgoraVox