LA GESTIONE DEI RISCHI OPERATIVI E DEGLI ALTRI RISCHI
Il processo di Operational Risk Management:
metodologie di identificazione, valutazione,
mitigazione e monitoraggio
Nicola d‘Auria
TMF Compliance (Italy)
26 giugno 2012 - Milano
S.A.F.
SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Agenda
S.A.F.
SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Agenda
Introduzione al processo di ORM
–
–
–
–
–
–
Misurare o valutare i rischi?
Alcune definizioni preliminari
Obiettivi del processo
Chi è interessato
Chi è coinvolto
Frame-work concettuale
3
Agenda (segue)
Le fasi tipiche del processo di ORM: l’approccio RCSA (Risk &
Control Self-Assessment)
–
–
–
–
Identificazione dei rischi
Valutazione dei rischi
Mitigazione dei rischi
Reporting e monitoraggio
4
Agenda (segue)
L’attuazione del processo di ORM nella pratica degli
intermediari: la Mappatura dei Rischi
– Obiettivi
– Fasi
– Reporting e action plan
5
Introduzione al processo di ORM
S.A.F.
SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Misurare o valutare i rischi?
“Risk” does not exist “out there”, independent of our minds and
culture, waiting to be measured. Human beings have invented
the concept of “risk” to help them understand and cope with the
dangers and uncertainties of life. Although these dangers are
real, there is no such thing as “real risk” or “objective risk”
Paul Slovic
Psicologo statunitense
Professore del Dipartimento di Psicologia dell’Università dell’Oregon
Presidente del gruppo Decision Research (Eugene, Oregon)
7
Alcune definizioni preliminari
Nell’uso comune, il rischio viene generalmente associato ad un
evento sfavorevole
In realtà, possiamo avere a che fare:
– sia con rischi “downside”, che hanno effetti negativi sui nostri obiettivi
– sia con rischi “upside”, che si traducono in opportunità da cogliere
(cosiddetta casualità positiva)
La nostra attenzione è naturalmente rivolta ai rischi “downside”
8
Alcune definizioni preliminari (segue)
Nella normativa degli intermediari finanziari, il rischio operativo è
definito come il
“rischio di perdite derivanti
– dalla inadeguatezza o dalla disfunzione di
• procedure,
• risorse umane e
• sistemi interni,
– oppure da eventi esogeni.
Tale definizione ricomprende il rischio legale”
9
Alcune definizioni preliminari (segue)
Nella prassi corrente, un rischio operativo è caratterizzato:
– dalla probabilità che un evento (negativo) si verifichi
– dall’impatto (negativo) che il medesimo evento provoca
La possibilità di “valutare” (ovvero, per chi lo ritiene fattibile,
“misurare”) sia la probabilità che l’impatto differenzia il concetto
di rischio da quello di incertezza
10
Obiettivi del processo
Identificare e valutare i rischi cui un’azienda è esposta, nel
complesso e nelle sue articolazioni (unità, processi, etc.)
Definire ed implementare apposite azioni dirette a proteggere
l’azienda dai rischi medesimi ovvero a contenerne la
probabilità e/o i relativi effetti (previa analisi dei relativi
costi/benefici)
Diffondere consapevolezza e “cultura del rischio” a tutti i
livelli dell’organizzazione
11
Chi è interessato
Consiglio di Amministrazione
Direzione Generale
Collegio Sindacale
Organismo di Vigilanza ex D. Lgs. 231/2001
Comitati Interni (Controllo Interno, Rischi, etc.)
Funzione di Internal Audit
Autorità di Vigilanza
12
Chi è coinvolto
Funzione di Risk Management
Funzione di Compliance
Funzione Antiriciclaggio
Responsabile della sicurezza ex D. Lgs. 626/1994
Organizzazione
Legale
Responsabili delle unità “owner” dei processi
Outsourcer
Consulenti esterni
13
Frame-work concettuale
Obiettivi strategici
ed operativi
Procedure e
controlli per
presidiare i rischi
Rischi che
possono
compromettere gli
obiettivi
14
Le fasi tipiche del processo di ORM
L’approccio RCSA
(Risk & Control Self-Assessment)
S.A.F.
SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Le fasi tipiche del processo di ORM
Reporting e
monitoraggio
Identificazione
dei rischi
Operational
Risk
Management
Mitigazione
dei rischi
Valutazione
dei rischi
16
Identificazione dei rischi
È svolta:
– in fase iniziale e a tutti i livelli dell’organizzazione, quando non è mai
stata svolta un’identificazione sistematica dei rischi
– nel continuo, allo scopo di rilevare l’insorgere di nuovi rischi e/o la
cessazione o attenuazione di rischi già identificati, in relazione a
modifiche di rilievo a livello organizzativo, procedurale e/o operativo
Si avvale dei seguenti supporti informativi:
–
–
–
–
–
cataloghi degli eventi (ABI, Assogestioni, etc.)
analisi dei processi e delle procedure interne
analisi di mansionari e di workflow
workshop con interviste e questionari agli owner dei processi
dati ed informazioni relative ad eventi di perdita (reclami, contenziosi,
sanzioni amministrative, etc.)
17
Identificazione dei rischi (segue)
Si conclude con una classificazione sistematica dei rischi, che
può avvenire per:
– fattori di rischio (procedure, risorse umane, sistemi interni, eventi
esogeni)
– tipologie di rischio (ad esempio, classificazione dei rischi operativi
secondo Basilea II)
– processi, nelle loro varie articolazioni
– unità organizzative owner dei rischi
La scelta della modalità di classificazione va indirizzata verso
l’opzione che sia ritenuta più idonea a:
– agevolare la gestione dei rischi
– ridurne la complessità dimensionale
– costruire un modello “trattabile” e condiviso all’interno dell’azienda
18
Valutazione dei rischi
È svolta anch’essa:
– in fase iniziale e per tutti i rischi identificati
– nel continuo, allo scopo di aggiornare la stima di rilevanza dei rischi
alla luce delle modifiche di rilievo a livello organizzativo, procedurale
e/o operativo
Richiede una valutazione della rilevanza dei singoli rischi in
termini di:
– probabilità di accadimento dell’evento
– impatto sull’azienda al verificarsi dell’evento
– efficacia dei presidi attivati al fine di prevenire il realizzarsi dell’evento
La valutazione dei suddetti profili, pur se – ove possibile –
supportata da evidenze oggettive (quali dati e statistiche su
frequenze ed impatti), resta un task eminentemente soggettivo
19
Valutazione dei rischi (segue)
Le stime di probabilità ed impatto sono combinate in una
matrice che consente di:
– visualizzare la rilevanza dei singoli rischi secondo una rappresentazione
bidimensionale
– valutare la coerenza dei presidi in essere con le azioni che, in relazione
al posizionamento nella matrice dei singoli rischi, sarebbero più idonee,
secondo le best practices in uso, a ridurre la rilevanza dei rischi
– individuare, ove non già attivate, le ulteriori misure di risposta
necessarie
20
Valutazione dei rischi (segue)
Matrice probabilità / impatto
21
Valutazione dei rischi (segue)
Si conclude con la valutazione:
– della qualità ed efficacia dei controlli e dei presidi in essere a fronte dei
rischi
– della loro idoneità a ridurre il grado di esposizione ai rischi medesimi,
in termini di probabilità e/o impatto degli stessi
La valutazione della qualità, efficacia ed idoneità dei controlli –
in una parola del cosiddetto “pressing” – consente di individuare
le aree:
– sovrapresidiate
– correttamente presidiate
– a rischio
22
Valutazione dei rischi (segue)
Matrice rischi / controlli
23
Mitigazione dei rischi
È attuata, con una focalizzazione sulle aree maggiormente a
rischio:
– in esito alla prima rilevazione dei rischi
– nel continuo
L’obiettivo è di:
– innalzare il “pressing” dei controlli e/o eliminare del tutto l’esposizione
a singoli rischi ritenuti non tollerabili
– ricondurre in tal modo il grado complessivo di esposizione ai rischi al
livello giudicato sostenibile
24
Mitigazione dei rischi (segue)
Richiede la definizione di specifiche azioni finalizzate a:
– contenere la probabilità del verificarsi degli eventi di rischio e/o dei
relativi effetti negativi sull’azienda
– eliminare completamente l’esposizione ai rischi
– trasferirne gli effetti all’esterno mediante strumenti di copertura
assicurativa
Ciò a meno di una scelta deliberata di:
– accettare passivamente i rischi in quanto già “prezzati” in un’analisi di
redditività
25
Mitigazione dei rischi (segue)
Matrice probabilità / impatto e azioni di mitigazione
26
Mitigazione dei rischi (segue)
Le “4 T” dell’Operational Risk Manager:
Tolerate:
Treat:
Terminate:
Transfer:
tollerare, accettare il rischio
trattare, gestire il rischio
terminare, porre fine al rischio
trasferire, coprire il rischio
27
Reporting e monitoraggio
Il reporting ha una duplice finalità:
– fornire alla direzione una rappresentazione del livello complessivo di
esposizione ai rischi e del relativo presidio da parte dell’azienda
– proporre, ove necessario, alla direzione appositi interventi di
mitigazione dei rischi
Il reporting:
– rappresenta idealmente la fase conclusiva del processo di ORM
– in realtà, con il monitoraggio del grado di attuazione delle proposte di
mitigazione che ad essa fa seguito, costituisce il punto di inizio di un
nuovo ciclo del processo
28
Reporting e monitoraggio (segue)
Il monitoraggio:
– consiste nel verificare, nel continuo, l’effettiva attuazione delle
proposte di mitigazione dei rischi, nei termini e secondo le modalità
stabilite dalla direzione
– è strettamente legato all’identificazione dei rischi che, come già
riferito, è diretta a rilevare sia l’insorgere di nuovi rischi che la
cessazione o attenuazione di rischi già identificati, in relazione alle
modifiche a livello organizzativo, procedurale e/o operativo formulate
nella fase di mitigazione
29
L’attuazione del processo di ORM nella pratica degli
intermediari
La Mappatura dei Rischi
S.A.F.
SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO
Obiettivi
La Mappatura dei Rischi costituisce la metodologia e il supporto
documentale mediante il quale:
– si procede a censire, in modo sistematico e secondo la classificazione
prescelta, i rischi insiti nell’operatività aziendale
– se ne stima la rilevanza
– si indicano gli eventuali interventi necessari per la mitigazione degli
stessi
31
Fasi
La Mappatura dei Rischi si articola nelle seguenti fasi:
1.
2.
3.
4.
5.
6.
7.
Censimento e analisi dei processi aziendali
Rilevazione delle fattispecie di rischio operativo
Valutazione di probabilità e impatto delle fattispecie di rischio
Stima dei “rischi lordi”
Rilevazione di controlli e presidi e valutazione della loro efficacia
Stima dei “rischi netti”
Reporting e action plan
32
1. Censimento e analisi dei processi aziendali
Questa fase è svolta rilevando i processi aziendali in base:
– alla documentazione disponibile (relazione sulla struttura organizzativa,
procedure e policy interne, etc.)
– a colloqui con i referenti aziendali coinvolti nei principali processi
33
Esempi di mappatura dei processi aziendali
Processi direzionali
Descrizione Processo
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
STRATEGIE, STRUTTURA
PROCESSI AZIENDALI
E
Descrizione Sotto-processo
E
DEFINIZIONE, VERIFICA E REVISIONE DELLE LINEE STRATEGICHE E DEI
BUDGET
GESTIONE DEL CAPITALE DELLA SOCIETA'
E
DEFINIZIONE DELLE STRATEGIE DI INVESTIMENTO
E
SCELTE DI MAKE OR BUY (OUTSOURCING)
E
SELEZIONE DELLE CONTROPARTI
E
DEFINIZIONE DELL'ASSETTO ORGANIZZATIVO AZIENDALE
E
DEFINIZIONE DELLE PROCEDURE E POLICY AZIENDALI
E
GESTIONE DELLA TESORERIA AZIENDALE
E
ACQUISIZIONE DI PERSONALE
34
Esempi di mappatura dei processi aziendali
(segue)
Processi distributivi
Descrizione Processo
PIANIFICAZIONE E SVILUPPO
COMMERCIALE
PIANIFICAZIONE E SVILUPPO
COMMERCIALE
PIANIFICAZIONE E SVILUPPO
COMMERCIALE
PIANIFICAZIONE E SVILUPPO
COMMERCIALE
OFFERTA DI PRODOTTI / SERVIZI
Descrizione Sotto-processo
AZIONE COMMERCIALE (RETE E PRODOTTI / SERVIZI)
SVILUPPO DI NUOVI PRODOTTI / SERVIZI
MARKETING (SOCIETARIO E DI PRODOTTO / SERVIZIO)
GESTIONE DEI PROMOTORI FINANZIARI
ATTIVITA' DI RELAZIONE CON IL CLIENTE
OFFERTA DI PRODOTTI / SERVIZI STIPULA DEL CONTRATTO PRESSO LA SEDE DELLA SOCIETA'
OFFERTA DI PRODOTTI / SERVIZI STIPULA DEL CONTRATTO FUORI SEDE
35
Esempi di mappatura dei processi aziendali
(segue)
Processi di prestazione dei servizi
Descrizione Processo
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO HEDGE
Descrizione Sotto-processo
ELABORAZIONE DI ANALISI STRUMENTALI ALLA DEFINIZIONE DELL'ASSET
ALLOCATION STRATEGICA
DEFINIZIONE DELL'ASSET ALLOCATION TATTICA
ATTUAZIONE DELLE DECISIONI DI ASSET ALLOCATION E GESTIONE DEL
FONDO
REGISTRAZIONE E TRASMISSIONE DEGLI ORDINI OICR
RICEZIONE E REGISTRAZIONE DEGLI ESEGUITI OICR
GESTIONE DEI CONFLITTI DI INTERESSE RELATIVI AGLI INVESTIMENTI
GESTIONE E MONITORAGGIO DEGLI INVESTIMENTI
36
Esempi di mappatura dei processi aziendali
(segue)
Processi di prestazione dei servizi
Descrizione Processo
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
SERVIZIO DI GESTIONE
COLLETTIVA - FONDO DI PRIVATE
Descrizione Sotto-processo
RICERCA, ANALISI E SELEZIONE DELLE OPPORTUNITA' DI INVESTIMENTO
VALUTAZIONE E APPROVAZIONE DELLE SCELTE DI INVESTIMENTO
DEFINIZIONE DELLE OPERAZIONI DI INVESTIMENTO ED ESECUZIONE DELLE
STESSE
GESTIONE DEI CONFLITTI DI INTERESSE RELATIVI AGLI INVESTIMENTI
GESTIONE E MONITORAGGIO DEGLI INVESTIMENTI
SELEZIONE DEGLI ASSET DA DISINVESTIRE
ATTUAZIONE DEI DISINVESTIMENTI
GESTIONE DEI CONFLITTI DI INTERESSE RELATIVI AI DISINVESTIMENTI
37
Esempi di mappatura dei processi aziendali
(segue)
Processi di prestazione dei servizi
Descrizione Processo
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
SERVIZIO DI RICEZIONE E
TRASMISSIONE DI ORDINI
Descrizione Sotto-processo
RICEZIONE DEGLI ORDINI DALLA CLIENTELA (AREA CLIENTI)
SIMULAZIONE DEGLI ORDINI RICEVUTI DALLA CLIENTELA
CONFERMA DEGLI ORDINI RICEVUTI DALLA CLIENTELA E GENERAZIONE
DEGLI ORDINI DA TRASMETTERE ALLE CONTROPARTI DI NEGOZIAZIONE
REGISTRAZIONE DEGLI ORDINI RICEVUTI DALLA CLIENTELA
TRASMISSIONE DEGLI ORDINI ALLE CONTROPARTI DI NEGOZIAZIONE (AREA
FINANZA)
ACQUISIZIONE DEGLI ESEGUITI DALLE CONTROPARTI DI NEGOZIAZIONE
38
Esempi di mappatura dei processi aziendali
(segue)
Processi di prestazione dei servizi
Descrizione Processo
SERVIZIO DI CONSULENZA
MATERIA DI INVESTIMENTI
SERVIZIO DI CONSULENZA
MATERIA DI INVESTIMENTI
SERVIZIO DI CONSULENZA
MATERIA DI INVESTIMENTI
SERVIZIO DI CONSULENZA
MATERIA DI INVESTIMENTI
SERVIZIO DI CONSULENZA
MATERIA DI INVESTIMENTI
IN
IN
IN
IN
IN
Descrizione Sotto-processo
ACQUISIZIONE PRELIMINARE DAL CLIENTE DEGLI ELEMENTI INFORMATIVI
NECESSARI ALLA PRESTAZIONE DEL SERVIZIO
SVOLGIMENTO DI ATTIVITA' STRUMENTALI ALLA PRESTAZIONE DEL SERVIZIO
FORMULAZIONE DI CONSIGLI DI INVESTIMENTO (PER TIPOLOGIA DI ASSET E
DI PRODOTTO, PER SINGOLO STRUMENTO FINANZIARIO, ETC.)
AGGIORNAMENTO PERIODICO DEGLI ELEMENTI INFORMATIVI NECESSARI
ALLA PRESTAZIONE DEL SERVIZIO ACQUISITI DAL CLIENTE
ELABORAZIONE DELLE INFORMAZIONI NECESSARIE ALLA PRODUZIONE
DELLE RENDICONTAZIONI PERIODICHE
39
Esempi di mappatura dei processi aziendali
(segue)
Processi amministrativi
Descrizione Processo
Descrizione Sotto-processo
AMMINISTRAZIONE SOCIETA'
GESTIONE DEL CAPITALE DELLA SOCIETA'
AMMINISTRAZIONE SOCIETA'
BILANCIO E REPORTISTICA PERIODICA
AMMINISTRAZIONE SOCIETA'
ATTIVITA' CONTABILI
AMMINISTRAZIONE SOCIETA'
COMUNICAZIONI DI VIGILANZA A BANCA D'ITALIA E CONSOB
AMMINISTRAZIONE SOCIETA'
SEGNALAZIONI DI VIGILANZA A BANCA D'ITALIA
AMMINISTRAZIONE SOCIETA'
ADEMPIMENTI ANTIRICICLAGGIO
AMMINISTRAZIONE SOCIETA'
ADEMPIMENTI MARKET ABUSE
AMMINISTRAZIONE SOCIETA'
SERVIZI GENERALI
AMMINISTRAZIONE SOCIETA'
CONTROLLO E COORDINAMENTO OUTSOURCER
AMMINISTRAZIONE SOCIETA'
GESTIONE ACQUISTI
AMMINISTRAZIONE SOCIETA'
GESTIONE DEI RECLAMI
40
Esempi di mappatura dei processi aziendali
(segue)
Processi amministrativi
Descrizione Processo
Descrizione Sotto-processo
BACK OFFICE - FONDO HEDGE
COMMERCIALIZZAZIONE OICR
BACK OFFICE - FONDO HEDGE
SOTTOSCRIZIONI
BACK OFFICE - FONDO HEDGE
RIMBORSI
BACK OFFICE - FONDO HEDGE
AVVALORAMENTO OPERAZIONI
BACK OFFICE - FONDO HEDGE
GESTIONE ORDINI ED OPERAZIONI OICR
BACK OFFICE - FONDO HEDGE
GESTIONE DEL CONTO ERRORI
BACK OFFICE - FONDO HEDGE
GESTIONE AMMINISTRATIVA STRUMENTI FINANZIARI OICR
BACK OFFICE - FONDO HEDGE
ELABORAZIONE DEL NAV E DEL VALORE UNITARIO DELLA QUOTA
BACK OFFICE - FONDO HEDGE
RENDICONTAZIONE PERIODICA OICR
BACK OFFICE - FONDO HEDGE
RICONCILIAZIONI OICR
41
Esempi di mappatura dei processi aziendali
(segue)
Processi amministrativi
Descrizione Processo
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
BACK OFFICE
PRIVATE
Descrizione Sotto-processo
- FONDO DI
COMMERCIALIZZAZIONE OICR
- FONDO DI
SOTTOSCRIZIONI
- FONDO DI
RIMBORSI PARZIALI PRO QUOTA A FRONTE DI DISINVESTIMENTI
- FONDO DI
AVVALORAMENTO OPERAZIONI
- FONDO DI
- FONDO DI
GESTIONE ORDINI ED OPERAZIONI OICR (SOLO PER OPERAZIONI SU
STRUMENTI FINANZIARI)
GESTIONE DEL CONTO ERRORI (SOLO PER OPERAZIONI SU STRUMENTI
FINANZIARI)
GESTIONE AMMINISTRATIVA STRUMENTI FINANZIARI OICR
- FONDO DI
ELABORAZIONE DEL NAV E DEL VALORE UNITARIO DELLA QUOTA
- FONDO DI
RENDICONTAZIONE PERIODICA OICR
- FONDO DI
RICONCILIAZIONI OICR
- FONDO DI
42
Esempi di mappatura dei processi aziendali
(segue)
Processi amministrativi
Descrizione Processo
BACK OFFICE - RICEZIONE E
TRASMISSIONE DI ORDINI
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
BACK OFFICE SERVIZIO DI
RICEZIONE E TRASMISSIONE
Descrizione Sotto-processo
ATTIVAZIONE DEI MANDATI RICEVUTI NELL'AMBITO DEL SERVIZIO DI
RICEZIONE E TRASMISSIONE DI ORDINI
CONTROLLO DEGLI ORDINI RICEVUTI DALLA CLIENTELA
DI
DI
CONTROLLO DEGLI ESEGUITI ACQUISITI DALLE CONTROPARTI DI
NEGOZIAZIONE
QUADRATURA, REGOLAMENTO E CONTABILIZZAZIONE DELLE OPERAZIONI
DI
DI
DI
DI
REGISTRAZIONE DEGLI ESEGUITI RICEVUTI DALLE CONTROPARTI DI
NEGOZIAZIONE
AGGIORNAMENTO GIORNALIERO DELLE POSIZIONI DELLA CLIENTELA IN
LIQUIDITA' / TITOLI
GESTIONE AMMINISTRATIVA STRUMENTI FINANZIARI SERVIZIO DI RICEZIONE
E TRASMISSIONE DI ORDINI
GESTIONE DEGLI ADEMPIMENTI INFORMATIVI VERSO LA CLIENTELA
DI
43
Esempi di mappatura dei processi aziendali
(segue)
Processi amministrativi
Descrizione Processo
BACK OFFICE - CONSULENZA
MATERIA DI INVESTIMENTI
BACK OFFICE - CONSULENZA
MATERIA DI INVESTIMENTI
BACK OFFICE - CONSULENZA
MATERIA DI INVESTIMENTI
BACK OFFICE - CONSULENZA
MATERIA DI INVESTIMENTI
Descrizione Sotto-processo
IN ATTIVAZIONE DEI MANDATI RICEVUTI NELL'AMBITO DEL SERVIZIO DI
CONSULENZA IN MATERIA DI INVESTIMENTI
IN TENUTA DI REGISTRAZIONI IDONEE A CONSENTIRE LA RICOSTRUZIONE
DELLE MODALITA' DI SVOLGIMENTO DEL SERVIZIO
IN DETERMINAZIONE E COMUNICAZIONE AL CLIENTE DELLE COMMISSIONI
RELATIVE ALLA PRESTAZIONE DEL SERVIZIO
IN GESTIONE DEGLI ADEMPIMENTI INFORMATIVI VERSO LA CLIENTELA
44
Esempi di mappatura dei processi aziendali
(segue)
Processi infrastrutturali o di supporto
Descrizione Processo
Descrizione Sotto-processo
ORGANIZZAZIONE
GESTIONE DEI PROCESSI AZIENDALI E DELLE PROCEDURE INTERNE
GESTIONE DELLE RISORSE
UMANE
GESTIONE DELLE RISORSE
UMANE
SISTEMI INFORMATIVI
AMMINISTRAZIONE DEL PERSONALE
FORMAZIONE DEL PERSONALE
SISTEMI INFORMATIVI
MONITORAGGIO DEL CORRETTO SVOLGIMENTO DELLE PROCEDURE
INFORMATICHE GESTITE DAGLI OUTSOURCER
GESTIONE DELLE MISURE DI SICUREZZA FISICA
SISTEMI INFORMATIVI
GESTIONE DELLE MISURE DI SICUREZZA LOGICA
SISTEMI INFORMATIVI
GESTIONE DELLE MISURE DI SICUREZZA ORGANIZZATIVA
AFFARI LEGALI E SEGRETERIA
SOCIETARIA
AFFARI LEGALI E SEGRETERIA
SOCIETARIA
AFFARI LEGALI
SEGRETERIA SOCIETARIA
45
2. Rilevazione delle fattispecie di rischio operativo
Nell’ambito di tale fase, si procede ad individuare e a descrivere
le fattispecie di rischio riconducibili a ciascuna macro-attività
tenendo conto dell’attività svolta dall’azienda
A ciascuna fattispecie di rischio è abbinata una determinata
tipologia di rischio
Negli esempi che seguono si utilizza la classificazione dei rischi
secondo Basilea II
46
Esempi di rischio operativo
Furto e frode interna
– Carente o inadeguata gestione della sicurezza della rete aziendale e
delle trasmissioni dei dati per via telematica, con conseguente rischio
di accessi non autorizzati e sottrazione di informazioni riservate da
parte di dipendenti
Furto e frode esterna
– Carente o inadeguata gestione della sicurezza dei dati sulle postazioni
in locale con conseguente rischio di accessi non autorizzati e
sottrazione di informazioni riservate da parte di soggetti esterni
47
Esempi di rischio operativo (segue)
Sicurezza dei sistemi
– Carente o inadeguato controllo degli accessi ai locali di ubicazione dei
server, con conseguente rischio di violazione delle misure di sicurezza
dei sistemi informativi
– Carente o inadeguata adozione di sistemi e procedure di back-up, di
business continuity e di disaster recovery, ivi inclusi quelli di
competenza degli outsourcer
– Carente o inadeguata gestione dei sistemi antivirus, ivi inclusi quelli di
competenza degli outsourcer, con conseguente rischio di danni ai
sistemi informativi connessi ad atti di pirateria informatica
48
Esempi di rischio operativo (segue)
Difetti nella produzione
– Carente o inadeguata identificazione, valutazione/misurazione,
mitigazione, monitoraggio/controllo dei fattori di rischio finanziario
inerenti all’operatività aziendale
– Carente o inadeguata identificazione, nell’ambito della definizione della
proposta di modello di controllo di gestione, delle grandezze di
riferimento utili al fine della valutazione del livello di conseguimento
degli obiettivi
– Carente o inadeguata definizione del piano dei conti e degli schemi
contabili
– Carente o inadeguata definizione del processo di selezione delle
opportunità di investimento
– Non corretta definizione del piano dei conti e degli schemi contabili
49
Esempi di rischio operativo (segue)
Difetti nella produzione (segue)
– Carente o inadeguata definizione dei supporti informativi da utilizzare
per la rilevazione, valutazione e segnalazione di eventuali operazioni
sospette ai sensi della normativa market abuse e anti-money
laundering
– Carente o inadeguata gestione dei profili di accesso dei singoli utenti
autorizzati e/o delle relative userid e password
– Mancata attivazione di un protocollo generale della corrispondenza,
con conseguente rischio di non corretta gestione di tutte le
comunicazioni da e verso l’esterno
50
Esempi di rischio operativo (segue)
Avvio, esecuzione e completamento delle transazioni
– Mancato rispetto delle deleghe e dei poteri nella gestione della Società
– Carente o inadeguata gestione della tesoreria aziendale
– Errori/ritardi di acquisizione, controllo e consolidamento dei dati da
utilizzare ai fini del controllo di gestione
– Mancata considerazione, nella gestione dei portafogli di investimento,
delle strategie definite dalla direzione o delle istruzioni conferite dalla
clientela
– Errori nella trasmissione degli ordini di acquisto/vendita disposti per
conto dei portafogli gestiti o ricevuti dalla clientela
– Carente o inadeguata elaborazione delle informazioni e dei dati da
riportare nei rendiconti
51
Esempi di rischio operativo (segue)
Avvio, esecuzione e completamento delle transazioni (segue)
– Mancata o non corretta registrazione degli ordini disposti e delle
operazioni eseguite nell’ambito dei servizi prestati
– Mancata o non adeguata riconciliazione degli estratti dei conti correnti
e dei depositi titoli con le corrispondenti schede contabili
– Mancata o non corretta raccolta e/o registrazione dei dati contabili da
parte dell’ufficio contabile
– Mancata o non corretta gestione dell’anagrafica dei prodotti/servizi
distribuiti
– Mancato, errato o incompleto inserimento/aggiornamento dei dati
anagrafici della clientela
– Errori nel calcolo delle commissioni e degli altri oneri di competenza
dei portafogli gestiti o da addebitare alla clientela
52
Esempi di rischio operativo (segue)
Avvio, esecuzione e completamento delle transazioni (segue)
– Mancata o non corretta valorizzazione degli strumenti finanziari di
pertinenza dei portafogli gestiti o della clientela
– Mancata o non adeguata diffusione al personale delle procedure
interne adottate
– Carente o inadeguata tenuta ed aggiornamento dei dossier personali
del personale
53
Esempi di rischio operativo (segue)
Monitoraggio e reporting
– Carente o inadeguato monitoraggio dei risultati conseguiti e degli
eventuali scostamenti rispetto agli obiettivi commerciali
– Mancato o non adeguato monitoraggio dell’andamento dei portafogli
gestiti
– Carente o inadeguata rappresentazione di informazioni destinate
all’esterno (ad esempio, alla capogruppo)
Gestione dei conti della clientela
– Mancato o non corretto caricamento nel sistema amministrativocontabile dei dati anagrafici della clientela
54
Esempi di rischio operativo (segue)
Venditori e fornitori
– Servizi prestati dagli outsourcer non in linea con quanto definito negli
accordi contrattuali con riferimento ai livelli di servizio
– Carente o inadeguata gestione degli adempimenti fiscali e contributivi
da parte degli outsourcer incaricati
55
3. Valutazione di probabilità e impatto delle fattispecie
di rischio
L’approccio seguito è del tipo rischio lordo/rischio netto
Il rischio lordo:
– è il rischio a cui l’azienda è esposta supponendo che non abbia attivato
alcun controllo e/o presidio volti a modificare probabilità e impatto
– è il risultato, espresso in termini qualitativi, della combinazione dei
punteggi di probabilità e di impatto
56
3. Valutazione di probabilità e impatto delle fattispecie
di rischio (segue)
Probabilità:
– Punteggio 1 – “Bassa”
• L’evento ha una bassa probabilità di accadimento (meno di una volta
all’anno)
– Punteggio 2 – “Media”
• L’evento si verifica orientativamente una volta all’anno
– Punteggio 3 – “Alta”
• L’evento può verificarsi frequentemente (più volte in un anno)
57
3. Valutazione di probabilità e impatto delle fattispecie
di rischio (segue)
Impatto:
– Punteggio 1 – “Basso”
• L’evento ha ripercussioni sostenibili sull’azienda in termini finanziari, legali,
etc.
– Punteggio 2 – “Medio”
• L’evento ha ripercussioni di rilievo sull’azienda in termini finanziari, legali,
etc.
– Punteggio 3 – “Alto”
• L’evento ha forti ripercussioni sull’azienda in termini finanziari, legali, etc.
58
4. Stima dei “rischi lordi”
Assegnati a ciascuna fattispecie i relativi punteggi di
“probabilità” e “impatto”, la loro combinazione determina la
rilevanza del “rischio lordo” in base alla seguente tabella:
59
5. Rilevazione di controlli e presidi e valutazione della
loro efficacia
Il rischio lordo viene mitigato dai controlli e/o presidi in essere
come previsti nelle procedure e nelle policy aziendali
L’efficacia del controllo/presidio a fronte di ciascuna fattispecie
di rischio censita è anch’essa valutata mediante l’assegnazione
di un punteggio che indica il grado di abbattimento del rischio
lordo
60
5. Rilevazione di controlli e presidi e valutazione della
loro efficacia (segue)
Efficacia:
– Punteggio 1 – “Alta”
• L’azienda ha posto in essere controlli e presidi che non lasciano spazio ad
ulteriori suggerimenti; ciò implica un abbattimento rilevante del rischio
lordo
– Punteggio 2 – “Media”
• I controlli/presidi in essere sono valutati di livello medio e il livello di
abbattimento del rischio, pur se migliorabile, è comunque apprezzabile
– Punteggio 3 – “Bassa”
• La valutazione della qualità ed efficacia dei controlli/presidi in essere porta
ad un giudizio di inadeguatezza degli stessi; in questo caso, il livello di
abbattimento del rischio lordo è nullo
61
Esempi di controlli e presidi
– Informatizzazione dei processi a più elevato grado di standardizzazione
e a più alto contenuto di manualità
– Verifica degli output prodotti da un’unità organizzativa ad opera di
un’unità organizzativa diversa o del superiore gerarchico (four eyes
principle)
– Verifica continuativa del rispetto dei livelli di servizio concordati con gli
outsourcer
– Validazione preventiva della documentazione da utilizzare nei rapporti
con i terzi (clienti, fornitori, etc.) da parte dell’ufficio legale e/o di
consulenti esterni
– Analisi preventiva degli impatti a livello organizzativo e procedurale
connessi a modifiche di operatività di rilievo
– Definizione di flussi informativi aziendali, da e verso l’alta direzione,
chiari e documentati
62
Controlli e presidi: alcune avvertenze
L’efficacia dei controlli e dei presidi individuati è tanto
maggiore quanto più puntualmente essi sono incorporati
formalmente:
– nelle procedure e nelle policy interne e in appositi mansionari “ad
personam”
– per le attività esternalizzate, nei service level agreement definiti
contrattualmente con gli outsourcer
Le attività di verifica delle funzioni interne di controllo
(Internal Audit, Compliance, Risk Management, Anti-Money
Laundering) non sono sostitutive dei controlli e dei presidi di
primo livello
63
6. Stima dei “rischi netti”
Il rischio netto:
– è il rischio che residua dopo aver considerato i controlli/presidi in
essere per la gestione e la mitigazione dei rischi ovvero dopo che il
management ha attivato una qualche risposta al rischio
– è espresso in termini qualitativi in base alla combinazione tra il livello
di rischio lordo precedentemente determinato e la valutazione
dell’efficacia dei controlli/presidi in essere
64
6. Stima dei “rischi netti” (segue)
Assegnata a ciascuna fattispecie il punteggio di “qualità dei
controlli”, la combinazione tra questa e il “rischio lordo”
determina la rilevanza del “rischio netto” come segue:
65
7. Reporting e action plan
La rilevazione delle varie fattispecie di rischio e la valutazione
della loro rilevanza, sia al lordo che al netto dei controlli/presidi
esistenti, può essere utilizzata per finalità di:
– reporting del grado di esposizione ai rischi, complessivo e disaggregato
per tipologia di rischio, per macro-processo, per processo, etc.
– proposta di interventi di mitigazione dei rischi di maggiore rilevanza
66
Esempio di reporting complessivo del grado di
esposizione ai rischi
Esposizione ai Rischi Lordi per grado di rilevanza
Medio
24,16%
Basso
3,47%
Alto
Basso
Medio
Alto
72,37%
Esposizione ai Rischi Netti per grado di rilevanza
Molto Basso
16,25%
Medio
11,25%
Basso
Medio
Molto Basso
Basso
72,50%
67
Esempi di proposte di interventi di mitigazione dei
rischi
– Completare la predisposizione delle procedure e delle policy richieste
dalla vigente normativa e mantenere il complessivo corpus procedurale
interno costantemente aggiornato e aderente all’assetto organizzativo
ed operativo della Società
– Valutare l’opportunità di prevedere una pluralità di controparti di
negoziazione, previa valutazione della loro idoneità a perseguire la
best execution, ed aggiornare di conseguenza la strategia di
trasmissione degli ordini
– Rivedere il modello di controllo di gestione e di reportistica gestionale
in uso allo scopo di fornire alla direzione un’adeguata rappresentazione
dell’andamento della Società in relazione ai servizi prestati e ai volumi
di attività
68
Esempi di proposte di interventi di mitigazione dei
rischi (segue)
– Rivedere ed integrare i livelli di servizio concordati con l’outsourcer
amministrativo-contabile
– Implementare un’attività di monitoraggio sistematico dei servizi
prestati dall’outsourcer amministrativo-contabile
– Prevedere una verifica periodica dei livelli qualitativi relativi ai servizi
prestati dalle controparti di negoziazione selezionate
– Attivare un apposito programma di copertura assicurativa dei rischi
gravanti sulla Società e/o sui suoi esponenti aziendali
– Incorporare lo strumento di profilazione ai fini della normativa MiFID
nell’ambiente informatico di gestione dell’anagrafica della clientela
– Completare la revisione degli indicatori individuati per la rilevazione di
eventuali operazioni sospette ai sensi della normativa antiriciclaggio e
rendere operativi gli indicatori medesimi
69
Esempi di proposte di interventi di mitigazione dei
rischi (segue)
– Implementare appositi controlli finalizzati ad accertare l’effettiva
corrispondenza tra gli ordini ricevuti dalla clientela e gli ordini
trasmessi alle controparti di negoziazione
– Rafforzare le misure di sicurezza fisica della sede della Società (ad
esempio, controllo automatico degli accessi, installazione di un sistema
di antifurto, etc.)
– Completare la predisposizione dell’apposita policy di disciplina delle
modalità di gestione dei sistemi informativi e di rispetto delle misure di
sicurezza e provvedere alla sua distribuzione al personale
– Attivare un protocollo unico della corrispondenza in entrata e in uscita
70
Grazie per l’attenzione!
71