di Ingrid GACCI
Data-driven Compliance è una parola sempre più usata. E, giustamente. Perché la compliance basata sui dati (questo significa letteralmente data-driven) può offrire molto alle banche e, a tutte le istituzioni finanziarie in primis. Nella pratica, la compliance riguarda essenzialmente la gestione dei rischi di compliance nel senso più ampio del termine.
Quando si parla di Data-driven Compliance ci si riferisce all’utilizzo di grandi quantità di dati per monitorare, dimostrare, controllare e gestire la (mancanza di) compliance all’interno di un’organizzazione.
La Data-driven Compliance ha un duplice obiettivo: un approccio alla compliance basato sui dati e, su una visione globale d’insieme.
Il punto centrale è evitare l’approccio tipico del “silos-working” (dove le banche dati sono separate fra loro) e utilizzare i dati aggregati a livello di organizzazione riuscendo così ad ottenere approfondimenti che riguardano orizzontalmente tutta l’organizzazione. Infatti, gran parte della complessità, dello sforzo e dei relativi costi necessari per verificare/controllare la compliance con leggi e regolamenti derivano proprio dal fatto che, spesso, si lavora in silos.
Nelle istituzioni finanziarie che consentono ai dati di essere il principio guida, la complessità può essere ridotta a beneficio di tutta l’istituzione che riuscirà ad avere un migliore “controllo”. Il vantaggio è che i dipartimenti di compliance non devono più operare a partire dalle diverse tematiche come ad esempio, AML, GDPR, operazioni personali e dai diversi silos. Invece, agiscono in base:
- all’intuizione (insight) e,
- alla visione d’insieme.
Intuizione e visione d’insieme vengono create a partire dall’analisi dei dati effettuata da prospettive e angolazioni diverse. In breve, i dati (combinati) costituiscono il volano per avere costantemente tutto “sotto controllo”. Il collegamento fra le fonti dei dati e l’analisi di tali dati “combinati” garantisce una maggiore attenzione su rischi nuovi e, fino a quel momento, imprevisti.
Di quali dati stiamo parlando?
Cosa si intende esattamente per dati quando si parla di Data-driven Compliance (compliance basata sui dati)? I dati sono informazioni in forma binaria che possono essere elaborate o spostate in modo digitale. Il trasferimento o il trattamento/elaborazione dei dati avviene mediante tecnologie digitali. Queste tecnologie, in combinazione con l’analisi dei dati, possono essere utilizzate per profilare e tracciare clienti, clienti potenziali e clienti dannosi nonché mitigare i relativi rischi. Si pensi, ad esempio, a frodi, riciclaggio di denaro e finanziamento del terrorismo. I dati hanno il potenziale per garantire/assicurare in maniera efficiente l’intero livello di compliance di banche e istituzioni finanziarie.
Che cos’è la Data-driven Compliance?
I test e il monitoraggio in base ai dati, nel caso ad esempio, di transazioni, processi e comunicazioni sono fondamentali nella Data-driven Compliance. In questo modo il monitoraggio “risk-based” (basato sui rischi) diventa subito più obiettivo e la compliance raggiunge un livello più elevato. L’integrazione è estremamente importante in questi casi. Attualmente, l’analisi dei dati è vista ancora come un’attività in più rispetto al lavoro regolare, mentre dovrebbe costituire la base della gestione del rischio all’interno di un’organizzazione.
Utilizzando l’analisi dei dati, diverse fonti di dati possono essere collegate tra loro in modo creativo. I dati relativi a: compliance, incidenti di sicurezza, notizie ed efficacia delle misure di controllo possono tutti essere collegati tra loro, per far emergere importanti intuizioni strategiche e visioni integrate.
Funzione di compliance dalla: “rilevazione” alla “previsione”
La Data-driven Compliance assicura il passaggio da una funzione di compliance incentrata sulla “rilevazione” passiva ex-post ad una funzione di compliance “predittiva” e proattiva. La funzione di compliance agirà, quindi, sempre più incentrata sulle attività di previsione invece di reagire agli eventi passati. Questo approccio così efficiente e mirato determina anche una maggiore attenzione per “scenari futuri di rischio di compliance che possono verificarsi raramente ma con un impatto potenzialmente assai rilevante“.
Le istituzioni finanziarie spesso si concentrano solo sui rischi noti; per cui rimane poca attenzione e poco tempo per i rischi importanti ma sconosciuti. Invece, l’attenzione dovrebbe essere sulla coda di una distribuzione normale (c.d. distribuzione di Gauss). Infatti, i rischi con la maggiore probabilità – la metà della distribuzione normale – sono noti ed i controlli esistenti sono progettati di conseguenza; mentre il pericolo si annida agli estremi (e da entrambi i lati).
I rischi indicati dall’estremo sinistro della distribuzione normale hanno un impatto potenzialmente basso. In questo caso, i dati possono ottimizzare l’identificazione dei bassi rischi esistenti e portare a risparmi sui costi. L’estremità destra – i rischi che si verificano raramente ma con un impatto potenzialmente molto rilavante – dovrebbe ricevere molta più attenzione. Utilizzando molti dati, i rischi sconosciuti possono essere chiariti.
Prerequisiti per la Data-driven Compliance
Ci sono una serie di prerequisiti affinché le istituzioni finanziarie trasformino la funzione di compliance in un attitudine/atteggiamento e in un metodo di lavoro data-driven:
- Gli istituti finanziari dovrebbero sviluppare un framework di controllo d’insieme globale con un approccio integrato a partire dalla prospettiva dei dati.
- Il divario tra IT e compliance deve essere ridotto. In pratica, questo divario sta attualmente crescendo, perché l’IT si evolve generalmente più velocemente rispetto alle competenze IT del personale addetto alla compliance.
- La rottura della cultura dei silos (o delle isole) all’interno della funzione di compliance. Le analisi dei dati dovrebbero contenere l’intero contesto e non la mera “visione del tunnel” di alcuni specifici temi di compliance.
- Personale sufficiente e adeguatamente formato ed esperto. È necessaria una vasta gamma di competenze per proteggere, scansionare, indicizzare, cercare, archiviare, organizzare, distribuire, modificare e trattare correttamente i dati e per visualizzare e comunicare chiaramente i risultati dell’analisi dei dati. Team multidisciplinari sono la parola chiave, perché tutte queste competenze spesso non si trovano in una sola persona. In qualità di responsabile della compliance, è quindi consigliabile familiarizzare con le tecniche necessarie e disponibili per rendere più efficiente ed efficace il proprio compito di responsabile della compliance.
- Risolutezza sui dati ed in particolare sulla loro quantità. Più dati non significa necessariamente dati migliori. Non di rado, l’analisi dei dati si offusca, tanto che ad un certo punto, ulteriori dati non fanno che interferire e si finisce a ritrovarsi con una pessima qualità dei dati.
- Considerare l’uso della tecnologia non come un “qualcosa in più”, ma come un perno all’interno della strategia complessiva dell’organizzazione.
- Infine, i rischi correlati devono essere gestiti adeguatamente. Infatti, possono comportare vari rischi sia l’utilizzo dei dati stessi sia il passaggio da una funzione di compliance “ordinaria” a una funzione di compliance data-driven. Un’interpretazione o un’analisi errata possono avere gravi conseguenze. Un processo mal gestito di transizione verso una funzione di compliance data-driven può far sì che il personale oppure i sistemi non siano in linea con le aspettative.
Conclusioni
Follow the data è più facile a dirsi di quanto non sia in realtà. La Data-driven Compliance si riferisce ad un nuovo approccio alla compliance:
- incentrato sui dati e con una visione globale d’insieme,
- che vuole evitare il lavoro a compartimenti stagni e
- utilizza i dati aggregati a livello di organizzazione per ottenere informazioni approfondite e preziose per il controllo e la strategia di tutta l’organizzazione.
Infine, i dati hanno un ruolo rilevante nel monitoraggio che è anche una delle funzioni più importanti del Compliance Officer. Inoltre, la tecnologia di regolamentazione (RegTech) supporta il personale della compliance nello svolgimento quotidiano del loro lavoro. L’inserimento di dati di alta qualità è essenziale per il corretto funzionamento di RegTech. Le istituzioni finanziarie traggono quindi vantaggi da un approccio basato sui dati ed è importante che abbiano pieno successo con l’introduzione della Data-driven Compliance.