Redazione
Quasi tutte le istituzioni finanziarie hanno l’obbligo di avere una Funzione di Compliance che sia efficace ed indipendente. Per dare corpo all’indipendenza della Funzione di Compliance non ci sono grosse difficoltà ma garantirne l’efficacia è un altro discorso. Ma come fare per garantire l’efficacia della Funzione di Compliance?
E, come funziona in pratica l’efficacia in un contesto aziendale di prodotti e operazioni aziendali sempre più complesse, processi in continua evoluzione, ricambio fisiologico del personale e gestione di grandi quantità di dati (big-data)?
L’approccio compliance by design e compliance by default è un approccio specifico per realizzare e assicurare efficacia alla Funzione di Compliance.
Le sfide della Funzione di Compliance
La costituzione in maniera coerente e adeguata della Funzione di Compliance o l’assunzione (e il riuscire a tenere) di dipendenti esperti non sono le vere sfide della Funzione di Compliance nelle istituzioni finanziarie. La vera sfida è:
- migliorare costantemente l‘efficacia della Funzione di Compliance
- per garantire che tutta l’istituzione finanziaria operi in modo compliant (conforme) e, contemporaneamente,
- riuscire a mantenere i costi della Funzione di Compliance ad un livello accettabile.
Fra le cause viene identificato il fatto che le istituzioni finanziarie spesso operano in base ad una struttura a silos, in cui la duplicazione dei dati (diversi dipartimenti che creano e/o gestiscono gli stessi dati) ha un’influenza negativa sia sulla gestione delle informazioni (provenienti dai dati) sia sul livello di conoscenza (il sapere) generale di tutta l’organizzazione.
Il contesto attuale è caratterizzato da a) un aumento costante dei costi; b) un aumento della complessità aziendale – e, con essa aumenta la complessità del quadro normativo applicabile ai prodotti e servizi – che fa emergere le inefficienze aziendali nei processi; questo quadro richiede una Funzione di Compliance spesso assai più intelligente e avanzata di quanto abbiano realizzato fino ad oggi molte istituzioni finanziarie. Spesso le istituzioni finanziarie rispondono a tali sfide con un approccio più frammentato (o “maggiore specializzazione” se si vuole usare una parola dai connotati più positivi). In particolare nell’ambito dei rischi di non conformità e delle relative attività di controllo. Questo approccio si spiega con il fatto che gli investimenti sono spesso effettuati in maniera decentralizzata. Infatti, responsabili di budget hanno funzioni diverse e prestano davvero poca o nessuna attenzione alla integrazione delle attività, dei processi e dei relativi dati. In questo modo, la Funzione di Compliance ai ritrova ancora più separata dal business, che è notoriamente e categoricamente “avversario” della Compliance.
Dopotutto, la Funzione di Compliance esiste proprio per monitorare, in modo indipendente ed efficace, la gestione dei rischi di compliance di tutte le attività dell’istituzione Finanziaria. I rischi di compliance (o rischi di -mancata- conformità) derivano dalle operazioni aziendali e non sono riscontrabili solo all’interno della Funzione di Compliance. Ecco perché la Funzione di Compliance deve integrarsi maggiormente con il business se vuole essere consapevole dei rischi di compliance ed agire in tempo utile a protezione dell’Istituzione Finanziaria. Il pericolo è come evidenziato da diversi esperti che “ad oggi, la funzione GRC non è riuscita a fornire ai Board un profilo completo del proprio ruolo e del suo potenziale impatto per quanto riguarda la sua capacità di contribuire alla gestione dell’incertezza che c’è attorno agli eventi, sia favorevoli, sia sfavorevoli.
I tempi attuali richiedono una Funzione di Compliance più intelligente e avanzata.
Compliance by design and default
Grazie all’approccio strategico della “compliance by design”, le Funzioni di Compliance possono rivedere i propri processi in modo tale da avere davvero il controllo al 100%. “Compliance by design significa applicare un approccio sistematico per integrare i requisiti regolamentari/normativi in attività e processi sia manuali sia automatizzati” [2]. Inoltre, si può aggiungere il passaggio alla “compliance by default”. Per cui non solo si guarda in anticipo alla progettazione (design) dei processi, ma, in tempo reale, si riesce a verificarne l’implementazione. Se un istituto finanziario ha implementato la “compliance by design” e la “compliance by default”, l’organizzazione è compliant e, si raggiunge la conformità, sia nel momento in cui vengono determinate le risorse (come software e sistemi a supporto dei processi) sia al momento dell’effettiva esecuzione di tali processi (da parte dei dipendenti). Grazie a questa soluzione suddivisa in due parti, la conformità è garantita prima e durante “il momento supremo. La Compliance by design (ossia compliance di progettazione) si può ottenere sviluppando software e sistemi che “per definizione” consentono solo scambi “compliant”. In questo caso, attività o azioni non compliant sono tecnicamente impossibili da eseguire. Un esempio è la due diligence del cliente eseguita in nell’ambito di un processo CDD (customer due diligence), in cui le politiche (e le procedure) dell’istituto finanziario sono integrate nel software di onboarding. In questo modo si crea effettivamente un possibile percorso che il dipendente può effettuare durante il processo di onboarding. In tal caso, è opportuno adottare un approccio sistematico nella politica CDD, in modo che il software non debba essere (completamente) adattato per ogni piccolo cambiamento nella politica CDD.
La Compliance by design (ossia compliance di progettazione) può essere ottenuta sviluppando software e sistemi che per definizione consentono solo scambi “compliant”.
La Compliance by default si può ottenere attivando, durante l’esecuzione di un processo, determinati aspetti di sicurezza che inibiscono in tempo reale che un dipendente possa agire in modo “non conforme”. Un esempio è fornire un messaggio pop-up con “Attenzione, intraprendendo questa azione stai agendo in violazione della politica aziendale (policy)”. Questo può accadere, ad esempio, durante una due diligence della clientela nell’ambito di un processo CDD, specificatamente, quando il dipendente indica di considerare il profilo di rischio del potenziale cliente inferiore a quello indicato dalle red flag del sistema. Le red flags della policy di CDD sono in questo caso implementate nel sistema (compliance by design), per cui al dipendente è impedito di aggirare tale politica durante l’effettiva esecuzione del processo.
Perché sono ancora poche le istituzioni finanziarie che utilizzano la compliance, by design e by default?
Per gli esseri umani cambiare è molto difficile. Soprattutto quando l’IT (Information Technology) eserciterà un’influenza maggiore rispetto a quanto avveniva in passato. Inoltre, la Funzione di Compliance è una funzione che tradizionalmente non è mai stata in cima alla lista delle priorità per ottenere investimenti. Tuttavia, questa è una scelta non molto saggia: un buon livello generale di compliance garantisce il mantenimento della licenza, che è in definitiva la ragion d’essere per la maggior parte delle istituzioni finanziarie.
Un altro motivo potrebbe essere che alle istituzioni finanziarie vada bene che la loro Funzione di Compliance non ha abbia una visione costante di tutti i dati, modelli e tendenze, ma soltanto in alcuni determinati momenti. Perché chissà cosa verrebbe fuori quando tutti i dati fossero integrati e determinate tendenze e modelli diventassero chiari?
Inoltre, i dipendenti non possono “dimenticarsi” qualcosa che è ormai automatizzato. In questo modo gli stessi vengono spinti ad agire in maniera compliant (meno il Compliance by design e Compliance by default). Tuttavia, probabilmente preferiscono svolgere le loro attività liberamente, senza essere costretti ad agire in maniera compliant perché i sistemi e il software lo impongono. Un approccio “compliance-first” nei processi, nei sistemi e nel software aiuterà quindi a realizzare una Funzione di Compliance più efficace.
E la domanda rimane: fra tutti i dipendenti quanti accoglieranno a braccia aperte questo approccio?