La Conduzione Operativa e il Governo 2.1 Approccio metodologico ... dell’impresa assicurativa e,...

Conduzione Operativa e Governo

della Funzione di Compliance nelle Imprese e nei Gruppi Assicurativi

RAPPORTO DI RICERCA

© CeTIF, 2009. Tutti i diritti riservati. Per uso esclusivo dei partecipanti al Competence Centre.

Pagina 1 di 60

Competence Centre La Conduzione Operativa e il Governo della Funzione di Compliance

nelle Imprese e nei Gruppi Assicurativi

Rapporto di Ricerca Dicembre 2009

La Conduzione Operativa e il Governo

della Funzione di Compliance

nelle Imprese e nei Gruppi

Assicurativi

RI

CE

RC

AISSN 1972-7224



RAPPORTO DI RICERCA


Pagina 2 di 60

AUTORI Hanno preso parte al Gruppo di Coordinamento Scientifico di CeTIF – Università Cattolica che ha curato i lavori del Competence Centre e la stesura del rapporto di ricerca:

Prof. Federico Rajola Dott.ssa Chiara Frigerio Dott. Massimo Mamino Dott. Christian Morlacchi

Pubblicato nel mese di dicembre 2009. Copyright © CeTIF, tutti i diritti riservati. Ogni utilizzo o riproduzione anche parziale del presente documento non è consentita senza previa autorizzazione di CeTIF.

PARTECIPANTI Hanno partecipato ai lavori del Competence Centre e contribuito allo sviluppo dei temi oggetto del presente rapporto:

Allianz Assicurazioni Generali Aviva Axa Assicurazioni CNP Unicredit Vita Credem Vita Ergo Previdenza Reale Mutua Assicurazioni Sara Assicurazioni Vittoria Assicurazioni

Mega International Nexen

Un particolare ringraziamento a ISVAP per l’attiva partecipazione ad alcuni dei tavoli di lavoro.

DISCLAIMER CeTIF assicura che il presente documento è stato realizzato con la massima cura e con tutta la professionalità acquisita nel corso della sua lunga attività. Tuttavia, stante la pluralità delle fonti d’informazione e nonostante il meticoloso impegno da parte di CeTIF affinché le informazioni contenute siano esatte al momento della pubblicazione, né CeTIF né i suoi collaboratori possono promettere o garantire (anche nei confronti di terzi) esplicitamente o implicitamente l'esattezza, l'affidabilità o la completezza di tali informazioni. CeTIF, pertanto, declina qualsiasi responsabilità per eventuali danni, di qualsiasi tipo, che possano derivare dall'uso delle informazioni contenute nel presente rapporto.

Si evidenzia, inoltre, che il presente rapporto potrebbe contenere proiezioni future o altre dichiarazioni in chiave prospettica, circostanza che comporta rischi e incertezze. Si avvisano pertanto i lettori che tali affermazioni sono solamente previsioni e potrebbero quindi discostarsi in modo considerevole dagli effettivi riscontri ed eventi futuri. CeTIF declina fin d’ora qualsiasi responsabilità e garanzia in relazione a tali proiezioni.



RAPPORTO DI RICERCA


Pagina 3 di 60

INDICE Introduzione ..............................................................................................................................5

1. Pianificazione delle attività di compliance ...........................................................................8 1.1 Piano degli interventi correttivi .......................................................................................8 1.2 Piano delle attività di monitoraggio e verifica.................................................................9 1.3 Piano delle attività di implementazione e assunzione in carico.....................................10 1.4 Piano dei progetti speciali..............................................................................................10 1.5 Piano della formazione ..................................................................................................11 1.6 Piano di sviluppo interno della funzione .......................................................................11 1.7 Piano delle risorse ..........................................................................................................12 1.8 Problematiche di allineamento con le altre funzioni di controllo ..................................12 1.9 Dimensioni della pianificazione delle attività di compliance ........................................13 1.10 Flussi informativi di compliance .................................................................................13 1.12 Ruoli e responsabilità...................................................................................................16 1.13 Impostazione del compliance plan...............................................................................16

2. Reportistica di compliance..................................................................................................18 2.1 Approccio metodologico................................................................................................19 2.2 Template ........................................................................................................................23 2.2.1 Compliance report periodico.................................................................................23 2.2.2 Esiti delle verifiche / Notifica di eccezioni...........................................................25

3. Compliance risk assessment ...............................................................................................28 3.1 Valutazione del rischio inerente (o rischio lordo)..........................................................34 3.2 Valutazione di adeguatezza dei controlli in essere ........................................................41 3.3 Valutazione del rischio residuo (o rischio netto) ...........................................................42 3.4 Gap analysis e predisposizione del piano di interventi correttivi ..................................44 3.5 Valutazione di efficacia dei controlli e rideterminazione del rischio residuo ...............46

Nota sugli strumenti informatici a supporto delle attività di compliance...............................49

Allegato – Fondamenti teorici per lo sviluppo di un sistema di indicatori reputazionali .......51 A.1 Un modello di riferimento basato su nessi causali........................................................51 A.2 La reputazione in una prospettiva strategica.................................................................52 A.3 La reputazione in una prospettiva cognitiva .................................................................53 A.4 Integrazione tra le prospettive strategica e cognitiva....................................................54 A.5 Conclusioni ...................................................................................................................57

BIBLIOGRAFIA ....................................................................................................................58



RAPPORTO DI RICERCA


Pagina 4 di 60



RAPPORTO DI RICERCA


Pagina 5 di 60

Introduzione

Dopo aver affrontato, nel corso del 2008, il tema della compliance in chiave organizzativa, si è ritenuto opportuno proseguire i lavori del Competence Centre con una seconda fase, dedicata all’approfondimento di alcune aree di importanza critica per garantire alla funzione di compliance un’operatività adeguata alle esigenze di risk governance dell’impresa assicurativa e, al contempo, armonica rispetto al suo articolato sistema di governo e controllo.

Come è stato più volte evidenziato durante i lavori dello scorso anno, l’Autorità di vigilanza guarda ad una funzione di compliance che sappia leggere i processi aziendali in modo critico e segnalare per tempo il profilarsi di rischi reputazionali e legali. Una funzione attivamente coinvolta nella definizione dei nuovi prodotti e nell’ingresso dell’impresa in nuovi segmenti di mercato.

D’altra parte, la valutazione del rischio di non conformità alle norme presenta crescenti difficoltà dovute sia alla mancanza di lunghe serie storiche di dati sia al fatto che la normativa sta gradualmente evolvendo verso un approccio principle based, orientato all’enunciazione di principi generali piuttosto che all’emanazione di regole imperative, contesto nel quale si richiede alla funzione la capacità di valutare non solo il rispetto di regole specifiche e dettagliate, ma anche la corretta applicazione di principi e standard.

In relazione a questo complesso scenario, il Competence Centre su “La Conduzione Operativa e il Governo della Funzione di Compliance nelle Imprese e nei Gruppi Assicurativi” si è posto l’obiettivo di sviluppare linee guida, strumenti e metodi di ausilio al compliance officer nelle seguenti aree:

Conduzione operativa della funzione.

Le principali problematiche che il compliance officer deve affrontare in quest’area riguardano la pianificazione delle attività in un orizzonte di breve e medio termine, la misurazione dei rischi emergenti dai processi, la programmazione degli interventi correttivi, la predisposizione di adeguati flussi informativi, il reporting operativo e strategico.

− Pianificazione delle attività. La pianificazione delle attività di compliance deve essere condotta con riferimento: (1) alla gestione del perimetro normativo di responsabilità della funzione (approccio di presidio); (2) all’adeguamento a nuove normative o a modifiche rilevanti di normative già presidiate (attività progettuale); (3) all’assunzione in carico di normative presidiate da altre unità organizzative (attività mista progettuale e di presidio); (4) ai piani di sviluppo della funzione nel medio termine; (5) ad altre attività istituzionali e progetti speciali nei quali la funzione risulti coinvolta.



RAPPORTO DI RICERCA


Pagina 6 di 60

E’ inoltre da prevedere un allineamento, condotto su base programmatica, con le funzioni di revisione interna e risk management, con l’obiettivo di sviluppare possibili sinergie e migliorare l’efficienza e efficacia complessive del sistema dei controlli interni.

− Misurazione dei rischi emergenti dai processi. L’attività di misurazione dei rischi, condotta dalla funzione di compliance mediante tecniche di tipo qualitativo (risk rating) o semiqualitativo (risk scoring), richiede un buon grado di raccordo con le metodologie quantitative adottate dalla funzione di risk management, sia in relazione a problematiche di condivisione del rischio misurato, sia in riferimento allo sviluppo di una visione unitaria dei rischi d’impresa.

L’attività di risk assessment si sviluppa in chiave fortemente collaborativa, con l’obiettivo di condividere il rischio con process owner e funzioni implicate nel momento stesso della rilevazione. In relazione a tale obiettivo, può prevedere l’utilizzo, in affiancamento alle precedenti, di tecniche di risk self-assessment da parte delle funzioni.

− Programmazione degli interventi correttivi. Gli interventi correttivi identificati a seguito dell’attività di risk assessment sono oggetto di una valutazione di impatto, anch’essa condotta in chiave collaborativa con altre unità organizzative, con l’obiettivo di arrivare alla stesura di un master plan degli interventi che tenga conto, oltre alla rischiosità emergente dall’attività di valutazione propria della funzione, anche di altre variabili rilevanti quali, a titolo esemplificativo, la criticità del processo in relazione al business, la complessità dell’intervento correttivo, il rischio operativo implicato, il costo complessivo dell’intervento.

− Flussi informativi e reporting. La funzione di compliance si colloca all’interno di un vasto sistema di relazioni d’impresa (modello delle relazioni), che impone l’attivazione di adeguati flussi informativi. Le molteplici attività condotte dalla funzione richiedono, inoltre, la predisposizione di una reportistica fortemente differenziata per contenuti, modalità di presentazione, destinatari e frequenza.

In particolare, si distinguono un reporting di tipo strategico, periodicamente indirizzato agli organi di governo e un reporting operativo, emergente dalle attività di presidio e progettuale.

Governo della funzione.

L’attività di governo della funzione di compliance implica una costante interazione con gli organi di vertice dell’impresa, con le funzioni appartenenti al sistema dei controlli interni, con altri organismi di controllo e funzioni rilevanti, con le aree di business. Ciò determina la necessità di ripensare, anche alla luce delle indicazioni dell’Autorità di vigilanza e delle



RAPPORTO DI RICERCA


Pagina 7 di 60

best practice di settore, la struttura di relazioni e processi che ne rappresenta il necessario contesto operativo.

Nota metodologica.

Nella stesura del rapporto di ricerca si è voluto dare particolare evidenza, mediante la

dicitura note applicative, alle raccomandazioni emergenti dall’esperienza applicativa dei

partecipanti al tavolo di lavoro.



RAPPORTO DI RICERCA


Pagina 8 di 60

1. Pianificazione delle attività di compliance

Coerentemente con quanto previsto dal mandato, la funzione di compliance provvede, con cadenza periodica (almeno annuale), a redigere e sottoporre per approvazione all’organo amministrativo, una pianificazione delle proprie attività (compliance plan), tenuto conto:

− delle evidenze derivanti da precedenti attività di valutazione del rischio;

− delle modifiche intervenute nelle attività dell’impresa;

− delle modifiche intervenute nella normativa presidiata;

− delle novità normative rientranti nell’ambito del perimetro presidiato;

− dell’assunzione in carico di normative da altre funzioni o unità organizzative;

− delle esigenze di sviluppo organizzativo della funzione.

Importanti elementi per lo sviluppo del compliance plan derivano, ove prevista, da una pianificazione di medio periodo delle attività (compliance program), sviluppata con una logica di programmazione pluriennale analoga a quella adottata dalla funzione di revisione interna. Tra le fondamentali ricadute del piano (per la funzione di compliance) figura la quantificazione delle risorse umane e strumentali necessarie alla realizzazione delle attività previste.

I risultati di tale pianificazione sono raccolti in un documento (compliance plan) soggetto ad approvazione da parte dell’organo amministrativo, tipicamente costituito dalle seguenti sezioni:

1. Piano degli interventi correttivi;

2. Piano delle attività di monitoraggio e verifica;

3. Piano delle attività di implementazione e assunzione in carico;

4. Piano dei progetti speciali;

5. Piano della formazione;

6. Piano di sviluppo interno della funzione;

7. Piano delle risorse.

I contenuti delle diverse sezioni sono dettagliatamente descritti nel seguito del paragrafo.

1.1 Piano degli interventi correttivi

Piano di attuazione degli interventi correttivi identificati come prioritari nell'ambito dell'ultimo compliance report e stato di avanzamento (aggiornamento del piano di



RAPPORTO DI RICERCA


Pagina 9 di 60

attuazione) degli interventi correttivi precedentemente identificati come prioritari, la cui attuazione non sia stata ancora completata.

Gli interventi correttivi devono riguardare le carenze di politica, procedurali, di implementazione o esecuzione emerse nell’operatività aziendale e devono prevedere sia la definizione di una specifica timeline di attuazione, sia l'identificazione delle risorse umane (profili, funzioni o unità organizzative di appartenenza, quantità) e finanziarie eventualmente necessarie al loro completamento nei tempi previsti.

1.2 Piano delle attività di monitoraggio e verifica

Piano di attuazione delle attività di monitoraggio e delle verifiche selettive di conformità in relazione alla normativa oggetto di presidio da parte della funzione, sulla base della programmazione di medio periodo (compliance program), delle evidenze derivanti da precedenti attività di risk assessment o a seguito di variazioni (rilevanti) intervenute nelle attività dell’impresa e/o nella normativa.

Principali sezioni.

− Perimetro normativo – Descrizione del perimetro normativo (interno ed esterno) oggetto delle attività di monitoraggio, in relazione al perimetro già presidiato dalla funzione di compliance e delle motivazioni alla base della scelta.

− Perimetro operativo – Descrizione del perimetro operativo oggetto delle attività di monitoraggio, sulla base di un approccio per processi. In alternativa all'approccio per processi (o unitamente a quest'ultimo nel caso di esigenze specifiche), può essere adottato un approccio per funzione/unità organizzativa o per prodotto/servizio.

− Piano delle attività di monitoraggio – Pianificazione delle attività di monitoraggio (per normativa / processo, normativa / funzione o unità organizzativa, normativa / prodotto o servizio) sulla base del perimetro normativo e operativo definiti. Si tratta di un’attività da realizzare, ove possibile, in stretto coordinamento con quelle di revisione interna e risk management per limitare l’impegno di risorse e garantire alle attività di verifica il massimo grado di efficienza.

− Piano delle attività di verifica selettive – Descrizione delle aree operative (processi, funzioni / unità organizzative, prodotti / servizi) oggetto di verifiche selettive di conformità e delle motivazioni alla base di tale scelta. Si tratta di verifiche condotte su base programmatica (sono escluse le verifiche aventi carattere di urgenza o emergenza) a fronte, ad esempio, di raccomandazioni provenienti da organi di vertice, Autorità di vigilanza, revisione interna, risk management oppure nel caso in cui si ritenga opportuno sottoporre a verifica



RAPPORTO DI RICERCA


Pagina 10 di 60

puntuale aree di particolare esposizione al rischio, oggetto di precedenti interventi correttivi.

1.3 Piano delle attività di implementazione e assunzione in carico

Pianificazione delle attività e delle risorse necessarie a garantire la conformità a nuove normative o a normative modificate in modo rilevante e l’assunzione in carico di normative già presidiate da altre funzioni o unità organizzative (eventuale).

Principali sezioni:

− Normativa – Identificazione e descrizione della normativa oggetto di implementazione (interna / esterna, nuova normativa / modifica a normativa già presidiata).

− Strumenti e risorse – Identificazione e quantificazione degli strumenti (non metodologici) e delle risorse umane e strumentali necessarie all'implementazione della normativa, costituzione del gruppo di lavoro, assegnazione di ruoli e responsabilità. Per quanto riguarda le risorse umane facenti parte del gruppo di lavoro è opportuno indicare se si tratti di risorse interne (appartenenti alla funzione di compliance o ad altre funzioni / unità organizzative) o esterne (provenienti, ad esempio, da società di consulenza, da altre aziende del gruppo, dalla capogruppo) e se il loro coinvolgimento sia previsto su base continuativa. Può essere necessario prevedere l'acquisizione di strumenti (ad esempio informatici) e la formazione del personale facente parte del gruppo di lavoro.

− Piano di implementazione – Piano di progetto comprendente la pianificazione delle attività, il piano delle verifiche sullo stato di avanzamento lavori, la definizione delle modalità di monitoraggio e comunicazione dei risultati.

− Piano di assunzione in carico (eventuale) – Piano di progetto per l’assunzione in carico di normative già presidiate da altre funzioni o unità organizzative. Definisce la tempistica, le risorse e gli strumenti necessari alla presa in carico (potrebbero essere implicati trasferimenti di risorse, anche umane, alla funzione di compliance) e le eventuali attività di verifica (revisione o realizzazione di assessment) connesse con la presa in carico.

1.4 Piano dei progetti speciali

Pianificazione delle attività e delle risorse necessarie per la realizzazione di altri progetti di compliance (ad esempio, progetti informatici per la realizzazione di strumenti a supporto delle attività di compliance – verifiche di conformità, risk assessment e risk self-assessment, monitoraggio, raccolta e organizzazione di dati rilevanti in relazione al rischio di non conformità, ivi inclusa la realizzazione di un database condiviso dei rischi operativi e di non conformità).



RAPPORTO DI RICERCA


Pagina 11 di 60

Principali sezioni:

− Progetti – Descrizione dei progetti oggetto del piano.

− Strumenti e risorse – Identificazione e quantificazione degli strumenti e delle risorse umane e strumentali necessarie all'implementazione dei progetti. Ove necessario, costituzione del gruppo di lavoro, assegnazione di ruoli e responsabilità. Nel caso di progetti informatici o di progetti facenti capo (o gestiti unitamente) ad altre funzioni / unità organizzative, armonizzazione con le rispettive pianificazioni.

− Piano di progetto – Per ogni progetto speciale, piano comprendente la pianificazione delle attività, il piano delle verifiche sullo stato di avanzamento lavori, la definizione delle modalità di monitoraggio e comunicazione dei risultati.

1.5 Piano della formazione

Collaborazione (con l’unità organizzativa preposta, generalmente le Risorse Umane – Formazione) nell'identificazione delle esigenze informative e formative in materia di compliance e nella pianificazione delle attività di formazione. Tale attività deve essere finalizzata a diffondere la cultura della conformità a tutti i livelli dell’organizzazione e ad approfondire la conoscenza delle normative rientranti nel perimetro di intervento della funzione (normativa interna ed esterna).

Principali sezioni:

− Rilevazione delle esigenze formative – Rilevazione periodica delle esigenze informative e formative del personale, anche mediante l’erogazione di interviste ai responsabili di funzione, la somministrazione di questionari a gruppi campione, la conduzione di focus group, il recepimento degli obblighi formativi eventualmente previsti da specifiche normative. Per la realizzazione di tale attività la funzione deve poter contare sul supporto delle altre funzioni aziendali tra cui le risorse umane – formazione e l’organizzazione.

− Piano delle attività di formazione – Piano delle attività di formazione previste per la copertura delle esigenze informative e formative di tutto il personale. Si tratta di un estratto del piano di formazione del personale, realizzato in stretta collaborazione tra compliance officer e risorse umane – formazione.

1.6 Piano di sviluppo interno della funzione

Pianificazione delle attività di carattere organizzativo previste, nel periodo preso in considerazione dal piano, per lo sviluppo interno della funzione di compliance.



RAPPORTO DI RICERCA


Pagina 12 di 60

Derivano dalla programmazione pluriennale (compliance program), ma sono influenzate, spesso in maniera considerevole, da fatti contingenti e non previsti dal programma di medio periodo (introduzione di nuove normative, trasformazioni sostanziali dell’attività dell’impresa o della struttura del gruppo, con conseguente assunzione di nuove responsabilità o perimetri normativi, esigenze di efficientamento organizzativo, emergere di aree di rischio sulle quali sia necessario intervenire in modo intensivo, altre criticità emergenti dall’operatività della funzione, nuove imposizioni di carattere normativo e regolamentare).

Comprendono le attività di trasformazione del modello organizzativo della funzione e di sviluppo/acquisizione di competenze e professionalità.

1.7 Piano delle risorse

Quantificazione di dettaglio e conseguente valorizzazione di tutte le risorse umane e strumentali necessarie all’implementazione del piano, con evidenza degli scostamenti rispetto alla disponibilità corrente ed eventuale piano di integrazione che preveda l’utilizzo di risorse esterne o l’acquisizione di nuove risorse.

Nota applicativa sull’attività di pianificazione

Scopo del compliance plan è descrivere come l’impresa intenda garantire la conformità

dei propri processi e procedure a leggi e regolamenti interni.

Il compliance plan non deve riportare il dettaglio di ogni singola richiesta normativa, ma

illustrare il piano degli interventi in modo completo, appropriato e esaustivo.

Dal compliance plan è possibile derivare il master plan dei progetti e, conseguentemente,

i piani di dettaglio (project plan) di ogni singolo intervento.

Dal compliance plan è inoltre possibile estrarre, con un approccio selettivo, specifici

documenti per notificare ex ante gli interventi di monitoraggio complessivamente

pianificati su funzioni / unità organizzative o process owner, così come eventuali

interventi di verifica selettiva.

1.8 Problematiche di allineamento con le altre funzioni di controllo

Tutte le funzioni appartenenti sistema dei controlli interni dell’impresa finanziaria (compliance, revisione interna, risk management) operano, se pure nell’ambito di differenti mandati, con l’obiettivo di garantirne la conformità a requisiti e vincoli di natura endogena ed esogena.

Da ciò emergono sia la necessità che l’opportunità di un allineamento programmatico, avente l’obiettivo di minimizzare l’impatto sulle strutture operative e massimizzare l’efficienza del sistema attraverso l’identificazione e lo sviluppo di opportune sinergie.



RAPPORTO DI RICERCA


Pagina 13 di 60

Necessità dell’allineamento programmatico:

− limitare, per quanto possibile, l’intensità delle verifiche di impatto (soprattutto) sulle aree operative;

− condividere le aree di maggiore esposizione al rischio così come emergono da valutazioni condotte in forma indipendente e dall’analisi delle serie storiche;

− condividere le aree generatrici di maggiori perdite, così come emergono dalle valutazioni annuali di rischio e dall’analisi delle serie storiche.

Opportunità derivanti dall’allineamento programmatico:

− identificare e sviluppare sinergie (nei limiti di quanto consentito dalla normativa in vigore e di quanto previsto dai mandati rispettivamente attribuiti) volte ad ottimizzare l’efficienza del sistema dei controlli interni nel suo complesso (dalla sovrapposizione di attività nascono inefficienze e rischi per l’efficacia del sistema).

1.9 Dimensioni della pianificazione delle attività di compliance

La pianificazione delle attività di compliance si sviluppa lungo due dimensioni principali:

− dimensione normativa

− dimensione operativa

attraverso un processo (il processo di compliance) che:

− si basa sull’identificazione nel continuo delle norme applicabili all’impresa e sulla valutazione del loro impatto su processi e procedure aziendali;

− origina proposte di modifiche organizzative e procedurali finalizzate ad assicurare adeguati presidi sui rischi di non conformità identificati;

− implica la predisposizione di adeguati flussi informativi per gli organi di vertice e le strutture coinvolte;

− implica la verifica dell’efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) ai fini della prevenzione del rischio di non conformità.

1.10 Flussi informativi di compliance

La pianificazione delle attività di compliance determina la necessità di coinvolgere, mediante l’attivazione di specifici flussi informativi, le funzioni o unità organizzative che, a diverso titolo e con diversi gradi di responsabilità, sono coinvolte nel processo di compliance.

Tali flussi informativi possono essere esemplificati come segue (figura 1).



RAPPORTO DI RICERCA


Pagina 14 di 60

Criteri di lettura della tabella 1PL = Planning, (S) = planning strategico, (O) = planning operativo 2SI = Flusso infragruppo (nell’ipotesi che siano state centralizzate su capogruppo le funzioni di controllo – revisione interna, risk management e compliance – non le altre)

L’attività di planning prevede anche dei flussi informativi entranti, cioè indirizzati alla funzione di compliance da parte delle funzioni o unità organizzative che, a diverso titolo e con diversi gradi di responsabilità, sono coinvolte nel processo di compliance. Nelle tabella esemplificativa che segue (figura 2), sono evidenziati i principali flussi informativi di cui la funzione di compliance è destinataria (in molti casi, non si tratta di flussi di compliance planning in senso stretto, bensì di flussi informativi a supporto delle attività di planning).

Figura 1 – Flussi informativi di pianificazione uscenti

Figura 2 – Flussi informativi di pianificazione entranti



RAPPORTO DI RICERCA


Pagina 15 di 60

Nota applicativa su flussi informativi e interrelazione tra funzioni nell’ambito del

processo di compliance

Nell’attuazione di quanto previsto dal Regolamento N. 20 si pone normalmente enfasi sul

mandato

“l’istituzione della funzione di compliance è formalizzata in una specifica delibera

dell’organo amministrativo, che ne definisce le responsabilità, i compiti, le modalità

operative, la natura e la frequenza della reportistica agli organi sociali e alle altre funzioni

interessate”.

e sulla definizione delle interrelazioni tra la funzione di compliance e le funzioni di

revisione interna e risk management

“il collegamento tra la funzione di compliance e le funzioni di revisione interna e di risk

management è definito e formalizzato dall’organo amministrativo”.

In realtà, come è stato messo in evidenza da autorevoli esponenti delle Autorità di

vigilanza

“la funzione di compliance governa un processo trasversale e polifunzionale, che tocca

molti aspetti della vita dentro e fuori l’azienda. Lo svolgimento dei compiti di conformità,

comprendenti in larga parte attività già svolte da altre funzioni, coinvolge infatti

responsabilità distribuite all’interno dell’impresa” …

“… per tali ragioni, l’esigenza di definire la rete di rapporti in cui si inserisce la funzione di

compliance non riguarda soltanto funzioni e organi del sistema di controllo interno ma

anche il modello delle relazioni gerarchiche e funzionali, nell’ambito dell’impresa o del

gruppo, tra la funzione di conformità e tutte le altre funzioni coinvolte a vario titolo nel

processo di compliance e i connessi meccanismi di coordinamento”.

Dunque, la definizione della rete di relazioni nell’ambito della quale si inserisce la funzione

di compliance emerge come elemento integrante del mandato e fattore critico di successo

per l’espletamento di un processo di compliance efficace ed efficiente.

Sorge, nella pratica aziendale, la questione di definire:

− a chi sia attribuita tale responsabilità (organo amministrativo piuttosto che

alta direzione);

− quale sia lo strumento organizzativo più appropriato allo scopo, anche in

relazione alla pratica aziendale (forma esplicita: disposizione organizzativa,

ordine di servizio; forma implicita: compliance policy).

Le esperienze di questi primi mesi di operatività della funzione mostrano come la ratifica di

una compliance policy in un contesto nel quale non sia stata predisposta, mediante



RAPPORTO DI RICERCA


Pagina 16 di 60

l’adozione di opportune politiche aziendali, la necessaria infrastruttura relazionale,

potrebbe avere esiti non adeguati alle attese.

1.12 Ruoli e responsabilità

Nell’identificazione dei ruoli e delle responsabilità delle funzioni o unità organizzative coinvolte nel processo di compliance (e, conseguentemente, nell’identificazione dei destinatari delle diverse tipologie di flussi informativi, sia di pianificazione che di reporting) può essere utile uno strumento derivato dalla matrice attività – attori, spesso utilizzata nella descrizione dei processi.

Si tratta della RACI MATRIX (figura 3), che consente di assegnare un ruolo ad ogni attore del processo, sulla base delle seguenti categorie:

− R = Responsible (il responsabile o owner dell’attività)

− A = Accountable (un attore a cui sia stato attribuito un obiettivo misurabile nell’ambito dell’attività)

− C = Consulted (un attore a cui sia stato attribuito un ruolo consultivo in merito all’attività)

− I = Informed (una persona da informare in merito all’attuazione e allo stato di avanzamento di una determinata attività).

1.13 Impostazione del compliance plan

La formulazione del compliance plan (come è stato evidenziato) si basa su un approccio tipicamente multidimensionale, in relazione alle numerose direttrici (e relative gerarchie) lungo le quali la pianificazione può essere sviluppata.

Figura 2 – Flussi informativi di pianificazione entranti



RAPPORTO DI RICERCA


Pagina 17 di 60

Approcci tipici vedono la formulazione del piano per:

− tipologia di attività / perimetro normativo / perimetro operativo;

− perimetro operativo / perimetro normativo / tipologia di attività;

− area normativa / perimetro operativo / tipologia di attività.



RAPPORTO DI RICERCA


Pagina 18 di 60

2. Reportistica di compliance

I flussi informativi di reporting originati dalla funzione di compliance forniscono una visione d’insieme e sistemica dell’esposizione dell’impresa al rischio di non conformità.

Essi documentano e formalizzano le necessità operative delle strutture coinvolte in termini di presidio del rischio di non conformità (formazione, risorse, nuovi prodotti, revisione di processi) e consentono di integrare adeguatamente i programmi di compliance finalizzati a rimuovere le criticità più urgenti, traendo la loro valenza e utilità dalla preesistenza di obiettivi verificabili di controllo delle attività e delle risorse impiegate (con riferimento all’attività di pianificazione).

Le informazioni di reporting devono avere le seguenti caratteristiche:

− Rilevanza: le informazioni riportate devono rivestire importanza per il destinatario ed essere adeguate sia nello stato di aggregazione che nei contenuti al livello gerarchico di chi le riceve.

− Controllabilità: le informazioni devono essere controllabili per consentire al destinatario di attuare le necessarie azioni correttive.

− Concisione / Selettività: le informazioni riportate devono essere determinanti e indispensabili.

− Frequenza / Tempestività: le informazioni devono essere tempestive, per consentire l’attivazione di azioni correttive coerenti con gli obiettivi dell’informazione.

− Attendibilità: le informazioni devono essere attendibili e quindi derivare da fonti sono affidabili e accurate.

− Comprensibilità: le informazioni non devono essere ridondanti e la loro leggibilità deve essere adeguata in riferimento agli obiettivi e al destinatario.

− Completezza: le informazioni devono offrire un quadro completo delle attività condotte nel periodo.

Nota applicativa sulle competenze per il reporting

in questo contesto, lo sviluppo di adeguate capacità comunicazionali da parte del

personale di compliance può assumere rilevanza critica.



RAPPORTO DI RICERCA


Pagina 19 di 60

Il reporting di compliance può essere classificato in:

Reporting strategico

Assolve ad un obbligo normativo: “il responsabile della funzione predispone, almeno una volta l’anno, una relazione all’organo amministrativo sulla adeguatezza ed efficacia dei presidi adottati dall’impresa per la gestione del rischio di non conformità alle norme”.

Riporta un giudizio di sintesi sull’adeguatezza della gestione del rischio di non conformità attuata dall’impresa.

Consente di fornire tempestiva informazione all’organo amministrativo su ogni violazione rilevante della conformità alle norme (es. violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o danno di reputazione).

Reporting operativo

Compendia tutte le informazioni connesse ad una specifica attività o ad una pluralità di attività (esiti delle attività di risk assessment, esiti degli interventi di verifica, reporting di progetto).

E’ strutturato in funzione del suo obiettivo e dei destinatari delle informazioni contenute.

Può essere riepilogativo generico ovvero di controllo specifico.

Normalmente è standardizzato in forma di modello (template), da completare in modo da offrire la visione completa delle attività svolte.

In particolare, per ogni normativa supervisionata dalla compliance (attività di presidio operata nel continuo) e per ogni progetto di adeguamento in corso (attività progettuale di compliance), vengono riepilogate tutte le attività condotte e gli esiti di tali attività.

2.1 Approccio metodologico

La realizzazione della reportistica di compliance può essere condotta sulla base del seguente approccio metodologico:

1. Identificazione dei flussi informativi di reporting, del loro contenuto e periodicità, a partire della mappa dei flussi informativi strutturati, originati dalla funzione di compliance.

Anche nella definizione dei flussi informativi di reporting può essere di ausilio la RACI MATRIX già introdotta per il compliance planning.



RAPPORTO DI RICERCA


Pagina 20 di 60

Tali flussi informativi possono essere esemplificati come segue (figura 4).

Criteri di lettura della tabella 1REP = Reporting, (S) = reporting strategico, (O) = reporting operativo 2SI = Flusso infragruppo (nell’ipotesi che siano state centralizzate su capogruppo le funzioni di controllo – revisione interna, risk management e compliance – non le altre)

L’attività di reporting prevede anche dei flussi informativi entranti, cioè indirizzati alla funzione di compliance da parte delle funzioni o unità organizzative che, a diverso titolo e con diversi gradi di responsabilità, sono coinvolte nel processo di compliance.

Nella tabella esemplificativa che segue (figura 5), sono evidenziati i principali flussi informativi, di reporting, di cui la funzione di compliance è destinataria (in molti casi, non si tratta di flussi di compliance reporting in senso stretto, bensì di flussi informativi a supporto delle attività di reporting).

Figura 3 – Flussi informativi di reporting uscenti



RAPPORTO DI RICERCA


Pagina 21 di 60

2. Definizione del contenuto e della forma del reporting.

Contenuto e forma del reporting possono essere sintetizzati mediante la matrice che segue (figura 6).

Criteri di lettura della matrice

S = Sintesi, SV = Sintesi Verticale (per normativa / processo / rischio)

D = dettaglio, DV = Dettaglio Verticale (per normativa / processo / rischio)

Figura 5 – Flussi informativi di reporting entranti

Figura 6 – Matrice destinatari – contenuto



RAPPORTO DI RICERCA


Pagina 22 di 60

3. Tipologie di report da generare.

La matrice destinatari – contenuto consente di identificare le diverse tipologie (archetipi) di report da generare:

− sintesi delle attività svolte;

− relazione sullo stato del sistema di conformità;

− notifica di (gravi) eccezioni rilevate;

− riepilogo attività svolte e relativo esito (dettaglio);

− esito delle attività svolte;

− esito impact analysis;

− stato avanzamento adeguamenti e interventi mitigazione;

− esiti verifiche sistema premiante (ove attribuite alla funzione);

− esiti ricognizione esigenze formative.

4. Interrelazioni tra le diverse tipologie di report.

Le numerose interrelazioni esistenti tra le diverse tipologie di report e le conseguenti possibilità di derivazione sono messe in evidenza nella matrice che segue (figura 7).

Criteri di lettura della matrice

Tipo: S = Sintesi, SV = Sintesi Verticale (per normativa / processo / rischio), D = dettaglio, DV = Dettaglio Verticale (per normativa / processo / rischio)

Figura 7 – Collegamenti tra reportistica di compliance



RAPPORTO DI RICERCA


Pagina 23 di 60

Dimensione della verticalizzazione: PROC = per processo, NORM = per normativa

Destinatario: CDA = Consiglio di Amministrazione (e, eventualmente, Comitato di Controllo Interno), CSIND = Collegio Sindacale, ADIR = Alta Direzione (definizione ISVAP), REV = Revisione Interna, RISK = Risk Management, LEG = Legale, POW = Process Owner, FUNZ = Funzioni Aziendali (coinvolte), HR = Risorse Umane, ORG = Organizzazione.

5. Sviluppo di modelli.

Segue lo sviluppo di modelli (template) per:

Reporting strategico

− di tipo periodico (compliance report);

− per eccezione (notifica di eccezioni / infrazioni rilevate).

Reporting operativo

− relativo all’attività di monitoraggio e verifica effettuata nel continuo (esiti);

− relativo all’attività progettuale in corso (stati avanzamento lavori – SAL, altra reportistica per il comitato guida di progetto).

Nel seguito del paragrafo sono proposti due modelli esemplificativi, rispettivamente riferiti alla reportistica periodica di compliance (compliance report) e alla comunicazione degli esiti di verifiche effettuate o alla notifica di eccezioni rilevate.

2.2 Template

2.2.1 Compliance report periodico

Come previsto dal mandato, con cadenza (almeno) annuale la funzione di compliance provvede a predisporre un documento sullo stato del sistema di conformità (compliance report) concernente una valutazione di sintesi sul livello di conformità dell’impresa in relazione al perimetro normativo presidiato dalla funzione (ciò che emerge dall’esecuzione delle attività previste nel compliance plan) e l'indicazione delle necessarie azioni correttive.

Ad una prima informazione di sintesi (executive summary), che potrebbe essere utilizzata per dare evidenza circa lo stato del sistema di conformità al collegio sindacale (qualora si decidesse di optare per un reporting differenziato rispetto a quello indirizzato all’organo amministrativo), può accompagnarsi un dettaglio costituito dalle seguenti sezioni:

1. Executive summary – Sintesi dello stato del sistema di conformità dell’impresa per ciò che concerne:

− il grado di esposizione al rischio (di non conformità e reputazionale) complessivo, per normativa oggetto di presidio da parte della funzione, per processo / funzione o unità organizzativa / prodotto o servizio;

− le verifiche di conformità effettuate;



RAPPORTO DI RICERCA


Pagina 24 di 60

− gli interventi di mitigazione operati;

− le nuove normative e/o gli adeguamenti normativi implementati o il loro stato di avanzamento;

− i progetti speciali completati o il loro stato di avanzamento;

− la formazione erogata e le nuove esigenze formative identificate;

− le gravi eccezioni di conformità rilevate;

− le perdite attribuibili ad eventi di non conformità e reputazionali ad essi conseguenti (opzionale, da evidenze di risk management);

− le raccomandazioni e gli interventi correttivi emergenti dall’attività;

− opzionalmente, il rendiconto economico (a fronte di un budget formalmente attribuito alla funzione).

2. Perimetro normativo presidiato – Descrizione del perimetro normativo oggetto di presidio da parte della funzione di compliance nell'ambito del piano al quale il rapporto si riferisce.

3. Perimetro operativo presidiato – Descrizione del perimetro operativo oggetto di presidio da parte della funzione (in relazione ad un approccio per processi, funzione / unità organizzativa, prodotto / servizio).

4. Interventi correttivi effettuati – Descrizione degli interventi correttivi effettuati nell’ambito del perimetro presidiato o stato di avanzamento degli interventi in corso. Indicazione delle eventuali varianti (e relative motivazioni) apportate in corso d'opera agli interventi originariamente previsti dal piano.

5. Altri interventi correttivi effettuati – Descrizione degli interventi correttivi di mitigazione effettuati o stato di avanzamento degli interventi in corso, con riferimento a quelli non previsti nell'ambito del piano.

Si tratta di interventi di emergenza o aventi comunque carattere di urgenza (derivanti, ad esempio, da gravi eccezioni (di conformità) rilevate, da segnalazioni delle Autorità di vigilanza, da adeguamenti normativi non previsti) o interventi propedeutici (originariamente non previsti o pianificati) alla realizzazione di quelli previsti nell'ambito del piano.

6. Valutazione del rischio – Valutazione del grado di esposizione dell’impresa al rischio di non conformità e reputazionale (conseguente ad eventi di non conformità), sulla base delle valutazioni di risk assessment effettuate ex ante e delle verifiche effettuate ex post dalla funzione, delle evidenze derivanti dalle linee operative, dalle verifiche di revisione interna, dalle rilevazioni di risk management e da altre fonti informative interne ed esterne all’impresa.



RAPPORTO DI RICERCA


Pagina 25 di 60

Tale valutazione è effettuata, in generale, con riferimento al perimetro normativo presidiato dalla funzione e, in particolare, con riferimento ai perimetri normativo e operativo oggetto del piano.

7. Analisi dei dati di perdita (opzionale) – Analisi (normalmente condotta su base annuale) delle perdite occorse nel periodo al quale il rapporto si riferisce, a seguito di eventi di non conformità e confronto con le serie storiche eventualmente disponibili.

Si tratta, generalmente, di una sintesi delle misurazioni condotte dalla funzione di risk management in relazione ai soli eventi di non conformità e, nell’ambito di questi, alle sole categorie di dati di perdita oggetto di rilevazione da parte della funzione.

8. Gravi eccezioni di conformità rilevate – Lista delle (gravi) eccezioni di conformità rilevate e segnalate agli organi di vertice nel periodo al quale il rapporto si riferisce e riferimento agli interventi correttivi posti in essere o pianificati (non sono considerate segnalazioni direttamente effettuate dalla funzione di compliance alle Autorità di vigilanza).

9. Nuovi interventi correttivi – Descrizione degli interventi correttivi di mitigazione identificati come prioritari (con esclusione delle emergenze o degli interventi aventi carattere di urgenza) a seguito delle attività di monitoraggio, verifica e adeguamento condotte e delle eccezioni di conformità rilevate.

Gli interventi indicati in questa sezione diventano oggetto del nuovo piano di conformità.

10. Stato delle attività di adeguamento (progetti) – Descrizione delle attività di adeguamento, conseguenti all’introduzione di nuove normative o a modifiche sostanziali del quadro normativo presidiato, portate a compimento e stato di avanzamento di quelle ancora in corso.

Allegati – Sono allegate al rapporto tutte le evidenze derivanti dalle attività di verifica effettuate sul sistema di conformità dell’impresa, incluse le eventuali eccezioni di conformità rilevate.

2.2.2 Esiti delle verifiche / Notifica di eccezioni

Questo formato di reporting può essere utilizzato, con poche modifiche, sia per la notifica degli esiti di attività di verifica effettuate, sia per la notifica di gravi eccezioni rilevate.

1. Premessa – Riepiloga i contenuti dell’attività svolta evidenziando, in particolare:

− i soggetti che hanno eseguito la verifica;

− gli interlocutori aziendali coinvolti;

− la tipologia dell’intervento;

− la durata dell’intervento;

− il periodo di riferimento delle verifiche effettuate.



RAPPORTO DI RICERCA


Pagina 26 di 60

2. Obiettivi dell’intervento – Descrive le finalità dell’analisi svolta ed il relativo perimetro di riferimento.

3. Documentazione analizzata – Elenca i supporti documentali (eventualmente allegati) utilizzati ai fini dell’analisi.

4. Approccio metodologico – Riporta la descrizione (più o meno analitica) delle metodologie adottate con un livello di approfondimento atto a consentire la comprensione delle specifiche attività di verifica svolte.

5. Esiti dell’attività svolta – Contiene la sintesi delle attività di verifica svolte con specifico riferimento alle aree e ai processi coinvolti. In particolare, individua i rischi di processo, le unità organizzative coinvolte nella gestione degli stessi, eventuali altre considerazioni rilevanti.

Nelle tabelle che seguono (figura 8) sono riportate, a titolo esemplificativo, le modalità di rappresentazione del rischio inerente e del rischio residuo (a seguito delle valutazioni di adeguatezza e di efficacia dei controlli) emergenti dai processi aziendali.

L’approccio adottato prevede l’associazione dei rischi individuati, in numero, ai processi aziendali e alle unità organizzative responsabili, ordinati per indice di rischiosità residua rilevato. In alternativa, o in associazione, a tale approccio è possibile rappresentare la rischiosità complessivamente emergente da un processo, in relazione a una o più normative, come media ponderata dei punteggi (score) dei singoli rischi.

Figura 8 – Valutazioni di rischio inerente e residuo



RAPPORTO DI RICERCA


Pagina 27 di 60

6. Elementi di criticità riscontrati – Riporta e commenta gli elementi di criticità riscontrati durante lo svolgimento delle attività di verifica.

Per ogni criticità rilevata sono descritte le modifiche organizzative e procedurali necessarie a mitigare i fenomeni oggetto di rilievo a livello di organizzazione, processi, sistemi e comportamenti riscontrati (figura 9).

7. Risultati dell’attività – Riporta, con riferimento alle verifiche di conformità svolte e coerentemente con il dettaglio delle criticità riportate nel paragrafo precedente, il giudizio di sintesi sulle risultanze dell’intervento.

Allegato – Elenco degli interventi proposti – Elenca gli interventi ritenuti necessari per migliorare i presidi esistenti e per mitigare i rischi di non conformità rilevati.

Figura 9 – Elementi di criticità riscontrati



RAPPORTO DI RICERCA


Pagina 28 di 60

3. Compliance risk assessment

Un’efficace azione di presidio del rischio di non conformità da parte della funzione di compliance non può prescindere:

− dall’adozione di tecniche condivise (nell’ambito del sistema dei controlli interni e, in particolare, con la funzione di revisione interna) per la valutazione ex ante del grado di esposizione dell’impresa finanziaria ai rischi di non conformità e reputazionali eventualmente conseguenti, correlati ad una data normativa o alla normativa facente complessivamente parte del perimetro presidiato dalla funzione (compliance risk assessment);

− dall’adozione di tecniche condivise (nell’ambito del sistema dei controlli interni e, in particolare, con la funzione di risk management) per la rilevazione ex post di dati relativi al verificarsi di eventi di non conformità e reputazionali eventualmente conseguenti (rilevazione delle frequenze di accadimento) e per la misurazione ex post delle perdite patrimoniali derivanti (in forma diretta o indiretta) da eventi di non conformità correlati ad una data normativa o alla normativa facente complessivamente parte del perimetro presidiato dalla funzione (misurazione dei dati di perdita) e per il confronto di tali dati con le serie storiche disponibili.

Con riferimento al primo punto, la metodologia di compliance risk assessment descritta nel presente documento, ormai ampiamente utilizzata nel settore finanziario, è di diretta derivazione da quelle utilizzate nei processi di revisione interna e si basa su tecniche di misurazione di tipo qualitativo (risk rating) e semiqualitativo (risk scoring).

In relazione al secondo punto, risulta opportuno osservare che i rischi di non conformità, identificati dalla funzione di compliance tramite assessment sui processi aziendali, vengono di regola quantificati dalla struttura di risk management mediante i modelli di calcolo applicati ai rischi operativi.

Nota applicativa sul raccordo tra metodologie di compliance e risk management

In una prospettiva di Solvency II emerge l’esigenza di un più stretto raccordo con la

funzione di risk management, a partire dalla realizzazione di un database condiviso dei

rischi operativi.

L’applicazione di tecniche di assessment da parte della funzione di compliance configura un intervento di tipo bottom up che parte dai processi aziendali con l’obiettivo di valutarne il grado di rispondenza alle norme e predisporre i piani correttivi necessari a rimuovere gli scostamenti eventualmente riscontrati.

Il compliance risk assessment è un’attività tipicamente polifunzionale che richiede molteplicità di competenze, condivisione dei risultati (ai fini dell’accettazione dei rischi e



RAPPORTO DI RICERCA


Pagina 29 di 60

della predisposizione degli eventuali interventi correttivi), raccordo con le valutazioni quantitative effettuate dalla struttura di risk management (in relazione alla valutazione delle perdite e degli effetti del rischio rilevato sul capitale).

Nota applicativa sull’attività di assessment

L’attività di risk assessment operata dalla funzione di compliance si sviluppa in chiave

collaborativa, con l’obiettivo di condividere il rischio con process owner e funzioni

implicate nel momento stesso della rilevazione (in un’ottica di gestione proattiva delle

problematiche di assunzione in carico dei rischi) e pianificare con queste gli eventuali

interventi correttivi.

L’intervento di compliance risk assessment si articola nelle seguenti cinque fasi (figura 10).

1. Valutazione del rischio inerente (o rischio lordo) – E’ il rischio implicito nella natura stessa dell’attività ed è presente in ogni business, prodotto o processo. La sua stima non tiene in considerazione i controlli eventualmente esistenti.

2. Valutazione di adeguatezza dei controlli in essere – Valutazione ex ante circa l’esistenza di controlli per la mitigazione del rischio e il loro grado di copertura.

3. Determinazione del rischio residuo (o rischio netto) – E’ il rischio che rimane dopo l’applicazione dei controlli di cui alla fase precedente. In questa fase, nella stima del rischio residuo si tiene generalmente conto dell’esistenza di controlli, ma non della loro efficacia o continuità di applicazione.

4. Gap analysis e predisposizione del piano di interventi correttivi – La misurazione della distanza (gap) che intercorre tra rischio residuo misurato e rischio accettato (cioè il livello di rischio che l’impresa è in grado di gestire e tollerare) può determinare la necessità di predisporre un piano di interventi correttivi. La programmazione degli interventi deve riguardare sia le eventuali carenze (di politica, procedurali, di implementazione o esecuzione) emerse nell’operatività aziendale, sia la necessità di affrontare eventuali nuovi rischi di non conformità identificati a seguito della valutazione periodica (generalmente annuale) del rischio.

5. Valutazione di efficacia dei controlli e rideterminazione del rischio residuo – Valutazione ex post circa l’efficacia dei controlli esistenti o posti in essere a seguito della gap analysis e rideterminazione del rischio residuo.



RAPPORTO DI RICERCA


Pagina 30 di 60

Nota applicativa sulle fasi del processo di assessment

Nella pratica aziendale, in particolare quando si sviluppa un assessment su una normativa

nei confronti della quale sia già stata condotta un’attività di adeguamento (ciò che

distingue l’attività di presidio del rischio operata “nel continuo” dalla funzione di

compliance da quella operata su base progettuale), le fasi 3. e 5. tendono a fondersi in

un’unica fase nella quale si tiene conto sia dell’esistenza e adeguatezza dei controlli, sia

della loro efficacia e continuità di applicazione.

La prima parte del processo di compliance:

− identificazione in via continuativa delle norme applicabili all’impresa (facenti parte del perimetro presidiato dalla funzione) e valutazione del loro impatto sui processi e le procedure aziendali

consente alla funzione di disporre, in forma strutturata, delle seguenti informazioni:

− elenco dei requisiti normativi riconducibili al perimetro presidiato dalla funzione;

− elenco dei rischi sottostanti ai requisiti normativi identificati e delle eventuali sanzioni ad essi associate;

− indicazione dei processi e procedure nell’ambito dei quali possono manifestarsi gli eventi rischiosi identificati.

Tali informazioni, raccolte in un documento di pre – assessment (anche indicato come impact analysis), costituiscono un input essenziale per la successiva attività di compliance risk assessment.

Figura 10 – Valutazione del rischio di non conformità



RAPPORTO DI RICERCA


Pagina 31 di 60

Nel dettaglio, il documento di pre – assessment contiene le seguenti informazioni :

Fonte normativa – Indicazione della normativa (ove rientrante nel perimetro presidiato dalla funzione di compliance).

Citazione della disposizione – Disposizione normativa (adempimento) al livello di dettaglio stabilito dalla funzione di compliance per l’attività di compliance risk assessment.

Requisito normativo – Regola applicativa riferita alla disposizione di cui sopra (rappresenta la traduzione della disposizione normativa in una regola, descritta in termini generali, applicabile ai processi).

Principali misure di controllo – Prima descrizione delle misure necessarie a garantire la conformità del processo impattato alla disposizione normativa (deriva dalla regola applicativa). Tali misure vengono spesso indicate con il nome di “controlli virtuosi”.

Descrizione del rischio – Evento di non conformità derivante dalla mancata applicazione della regola applicativa.

Sanzione – Eventuale sanzione applicabile all’impresa a seguito del manifestarsi dell’evento di non conformità.

Processi impattati – Indicazione dei processi impattati dalla disposizione normativa, al livello di dettaglio stabilito dalla funzione di compliance (di norma, nel documento di pre assessment ci si ferma ad un livello di dettaglio minimo).

Per la realizzazione del documento di pre assessment sono generalmente richieste le seguenti competenze:

Analisi delle fonti normative di riferimento (disposizioni, requisiti normativi, sanzioni).

E’ un’attività tipicamente condotta congiuntamente con la funzione legale (che agisce, in questo caso, in veste consulenziale) o attribuita in delega a tale funzione, alla luce delle competenze giuridiche implicate. Nel caso di normative ad elevato contenuto specialistico (cioè, di impatto su aree di business altamente specializzate), può essere necessario coinvolgere le diverse funzioni / unità organizzative implicate.

Analisi delle ricadute sull’organizzazione interna (regole applicative, processi e procedure impattati, principali interventi di adeguamento).

E’ un’attività che implica robuste competenze di tipo organizzativo e, come tale, può essere condotta dalla funzione di compliance in stretta collaborazione con la funzione di organizzazione e i process owner (più raramente è oggetto di delega).

Identificazione dei rischi (descrizione dei rischi emergenti dai processi).

E’ un’attività fortemente correlata alla precedente. Consiste nell’associazione di un rischio (di non conformità e reputazionale ad esso conseguente) ad una regola applicativa già preliminarmente descritta, in termini organizzativi. Viene generalmente condotta dalla



RAPPORTO DI RICERCA


Pagina 32 di 60

funzione di compliance in collaborazione con la funzione organizzazione e i process owner (molto raramente è oggetto di delega).

Il tema dell’accesso alle competenze pone alcune questioni di particolare rilevanza:

− la valutazione delle competenze disponibili nell’ambito della funzione di compliance o da acquisire, anche in prospettiva, all’interno della funzione (valutazione di core competence);

− l’identificazione delle competenze disponibili presso altre funzioni (ad esempio, nel caso del documento di pre assessment, legale e organizzazione) e delle modalità di accesso a tali competenze (accesso informale, su base estemporanea o consulenziale, accesso formalizzato mediante accordo di servizio, delega di attività mediante contratto di servizio);

− l’identificazione delle competenze non presenti, o non disponibili, presso altre funzioni aziendali e decisione in merito al ricorso a risorse esterne (pone la questione dell’accesso ad un budget di spesa, con adeguato grado di autonomia) e al loro coordinamento.

Nota applicativa sul tema delle competenze

Nella pratica aziendale emerge l’esigenza che i ruoli e le responsabilità delle funzioni o

unità organizzative significativamente implicate nel processo di compliance (ad esempio,

ma non limitatamente, il legale e l’organizzazione) vengano sanciti da una specifica

delibera dell’organo amministrativo (o inseriti in un documento soggetto a delibera da

parte dell’organo amministrativo quale, ad esempio, la compliance policy).

Prima di effettuare la valutazione dei rischi emergenti dai processi, in relazione ad una data normativa facente parte del perimetro presidiato dalla funzione di conformità, è necessario procedere:

− alla (eventuale) ulteriore scomposizione delle disposizioni normative, fino ad un livello di dettaglio coerente con gli obiettivi della misurazione (adempimenti normativi);

− alla (eventuale) ulteriore scomposizione dei processi impattati dalla normativa, fino ad un livello di dettaglio coerente con gli obiettivi della valutazione (attività impattate);

− alla conseguente identificazione dei ruoli e delle responsabilità in merito alla conduzione delle attività facenti parte di ogni processo impattato;

− ad una più dettagliata descrizione, in termini organizzativi, dell’ambiente di controllo in grado di garantire la conformità dei processi alla normativa.



RAPPORTO DI RICERCA


Pagina 33 di 60

Questa ulteriore attività consente di impostare la cosiddetta CRM – Compliance Risk Matrix, una tabella a doppia entrata contenente, oltre a quelle di pre – assessment, anche le seguenti informazioni:

− valutazione del rischio inerente (include anche la componente reputazionale del rischio di non conformità);

− indicazione della presenza di eventuali indicatori di rischio (key risk indicator – KRI o compliance risk indicator – CRI);

− misure di mitigazione (procedure, controlli e, in generale, tutte le misure poste in essere per mitigare i rischi individuati);

− valutazione delle misure di mitigazione (adeguatezza ed efficacia delle misure poste in essere, in relazione all’obiettivo di mitigazione dei rischi individuati);

− valutazione del rischio residuo, sulla base dei giudizi di adeguatezza ed efficacia delle azioni di mitigazione;

− indicazione della eventuale necessità di interventi correttivi alle misure di mitigazione;

− indicazione della periodicità dei compliance test, ove pianificati.

L’assessment dei rischi presuppone che siano soddisfatti anche i seguenti requisiti:

− definizione dei perimetri orizzontale (normative e processi / prodotti / servizi) e verticale (normative e processi / prodotti / servizi) dell’analisi, in relazione ai suoi obiettivi;

− disponibilità di una adeguata mappatura dei processi, caratterizzata da attributi di completezza, aggiornamento, consistenza nei confronti dell’agito e dei controlli insiti nei processi;

− disponibilità di una adeguata descrizione dell’ambiente di controllo nella sua interezza (altre misure di mitigazione dei rischio emergente dai processi);

− decisione in merito alle modalità di trattamento del rischio reputazionale (nell’ambito dell’attività di assessment).

I rischi di non conformità e reputazionale vengono normalmente identificati dalla funzione di compliance con tecniche di tipo qualitativo (risk rating), anche in ragione dell’oggettiva difficoltà di quantificazione di tali rischi, motivata dalla carenza di serie storiche.

Ove possibile, tuttavia, l’utilizzo (in associazione alle precedenti) di tecniche semiqualitative (risk scoring) consente una più agevole valutazione del rischio totale, mediante aggregazione dei punteggi ottenuti dalle singole aree oggetto di assessment.

Come è già stato evidenziato, le metodologie di risk assessment generalmente adottate dalla funzione di compliance sono di diretta derivazione da quelle in uso presso le funzioni



RAPPORTO DI RICERCA


Pagina 34 di 60

di revisione interna e risultano facilmente raccordabili con quelle quantitative di risk management adottate per la misurazione dei rischi operativi.

3.1 Valutazione del rischio inerente (o rischio lordo)

Ad ogni rischio di non conformità derivante da un requisito normativo identificato tramite l’attività di pre – assessment, si attribuisce un valore potenziale, detto rischio inerente (o rischio lordo).

Tale valutazione non tiene conto dei controlli e di altre misure di mitigazione eventualmente già poste in essere presso l’impresa.

L’attribuzione del valore di rischio inerente si basa sui seguenti elementi:

− frequenza (o probabilità) del rischio: frequenza di accadimento dell’evento rischioso;

− peso (o impatto) del rischio: impatto economico – patrimoniale dell’evento rischioso, in caso di accadimento.

Tali elementi, composti sulla base di una semplice regola di composizione, consentono di assegnare un valore qualitativo e, eventualmente, uno score al rischio inerente (figura 11).

Nota applicativa sulla regola di composizione di peso e frequenza

Secondo la regola di composizione qui presentata, i valori del peso determinano la classe

di appartenenza del rischio (indice di rischiosità), quelli della frequenza determinano lo

Figura 11 – Valutazione del rischio inerente



RAPPORTO DI RICERCA


Pagina 35 di 60

score attribuito nell’ambito di ogni classe. E’ stata apportata solo una parziale correzione

per tenere conto di eventi ad elevata frequenza di accadimento.

Altre regole di composizione in uso praticano un maggiore bilanciamento tra i valori del

peso e della frequenza nella determinazione dell’indice di rischiosità.

La regola di composizione e gli score attribuiti alle diverse combinazioni di peso e frequenza dovrebbero essere allineati a quelli adottati dalle funzioni di revisione interna e, eventualmente, risk management.

Inoltre, rischi appartenenti alla stessa categoria dovrebbero essere oggetto di un consistency check orientato a verificare la consistenza delle valutazioni effettuate in merito a peso, frequenza e altre caratteristiche del rischio.

E’ anche necessario decidere, in questa fase, se un indice di rischiosità BASSO o ASSENTE debba necessariamente escludere qualsiasi ulteriore azione di follow-up.

Classi di rischio inerente (nella pratica aziendale)

Alle classi di rischio inerente emergenti da questa prima fase di valutazione può essere attribuito il seguente significato:

− molto alto / continuità (score pari a 100): identifica un rischio molto alto o di “continuità”, ossia un rischio che, se non adeguatamente presidiato, può pregiudicare significativamente la sana e corretta gestione del processo, con impatti significativi a livello aziendale;

− alto (score fra 65 e 80): indica un rischio che, se non adeguatamente presidiato, potrebbe portare a serie conseguenze, quali, a esempio, quelle sanzionatorie di natura penale o di consistenti perdite economico-patrimoniali anche non quantificabili a priori, tali comunque da compromettere gli obiettivi del processo;

− medio (score fra 40 e 60): connota un rischio che, se non adeguatamente presidiato, può comportare conseguenze di natura amministrativa o ripercussioni di natura economico patrimoniale significative;

− basso (score fra 10 e 30): rappresenta un rischio che, se non adeguatamente presidiato, può comportare conseguenze diverse da quelle sopra descritte, ovvero generare contenute perdite di natura economico-patrimoniale;

− assente (score pari a 0): il rischio non sussiste.

In mancanza di serie storiche, il peso, in caso di accadimento, dell’evento rischioso (figura 12) può essere determinato a partire da fattori quali:

− il valore delle operazioni coinvolte;

− la tipologia di sanzioni previste (penali piuttosto che amministrative);



RAPPORTO DI RICERCA


Pagina 36 di 60

− l’entità delle sanzioni;

− l’entità delle possibili conseguenze di tipo civilistico (risarcimenti);

− il livello di esposizione dell’impresa (già manifestatosi per altre normative) nell’area o nelle aree di impatto (processi / attività) della normativa in questione;

− il peso di eventi rischiosi rilevati nelle stesse aree.

Analogamente, la frequenza di accadimento dell’evento rischioso (figura 13) può essere determinata a partire da parametri quali:

− la frequenza delle operazioni coinvolte;

− il canale utilizzato per le operazioni;

− la tipologia di clientela coinvolta;

− il grado di diffusione territoriale dell’impresa;

− il grado di automazione delle operazioni coinvolte.

Nota applicativa sui valori di peso e frequenza

I valori di peso e frequenza dell’evento rischioso dovrebbero essere condivisi con revisione

interna e risk management.

Figura 12 – Peso dell’evento rischioso

Figura 13 – Frequenza di accadimento dell’evento rischioso



RAPPORTO DI RICERCA


Pagina 37 di 60

Per quanto riguarda l’incidenza delle sanzioni sul peso dell’evento rischioso e, eventualmente, sulle sue conseguenze reputazionali, è possibile riferirsi alla tabella che segue (figura 14).

L’eventuale presenza di una componente reputazionale del rischio, conseguente all’evento primario di non conformità, può essere:

− solo rilevata e separatamente evidenziata (ad esempio, mediante l’attivazione di un indicatore reputazionale);

− analiticamente determinata e separatamente evidenziata (ad esempio, mediante l’introduzione e valorizzazione di un indicatore di impatto reputazionale);

− solo rilevata o analiticamente determinata ma fatta rientrare nel criterio utilizzato per la valorizzazione (qualitativa e semiqualitativa) del rischio inerente (ad esempio, mediante la combinazione delle componenti regolamentare e reputazionale sulla base di una regola di composizione del tutto simile a quella presentata nella slide precedente), a condizione che non si perda evidenza dell’esistenza di tale componente.

La sola rilevazione del possibile impatto reputazionale di un evento di non conformità può essere condotta sulla base di semplici criteri qualitativi, del tipo di quelli presentati in tabella (figura 15).

Nota applicativa sui criteri di trattamento del rischio reputazionale

Elemento critico in relazione all’adozione di tali criteri, è la loro condivisione con le altre

strutture di controllo.

Figura 14 – Sanzioni



RAPPORTO DI RICERCA


Pagina 38 di 60

La determinazione analitica dell’impatto reputazionale di un evento di non conformità può essere invece effettuata tramite la messa a punto di un sistema di indicatori reputazionali, sulla base dell’approccio nel seguito brevemente delineato (i fondamenti teorici di tale approccio sono esposti in appendice).

In linea generale, è possibile affermare che la reputazione misura la forza delle relazioni di un’organizzazione con i propri stakeholder:

− Forza che deriva dalle esperienze dirette e mediate.

Osservazione dei prodotti e delle azioni dell’organizzazione, diretta o indiretta perché raccontata o riportata all’interno del sistema di relazioni che ogni stakeholder ha (parenti, amici, opinion leader, mezzi di comunicazione).

− Forza che si esercita nei sentimenti.

Fiducia intesa come aspettativa sulle performance future dell’organizzazione; coinvolgimento emotivo inteso come simpatia o ammirazione.

− Forza che si manifesta in comportamenti di supporto.

Fedeltà, cioè l’intenzione di rimanere legato all’organizzazione; cooperazione, cioè l’intenzione di collaborare o difendere l’operato dell’organizzazione.

Tale definizione si presta ad essere rappresentata graficamente sotto forma di una catena di relazioni causa – effetto (figura 16) che collegano tra loro esperienze, sentimenti e comportamenti, sulla base di un dettaglio sviluppato1 a partire dalle metriche suggerite.

1 Una delle prime applicazioni pratiche del modello si deve a CeSAR – Centro di Studi Accademici sulla Reputazione, con riferimento alla rilevazione condotta nel 2008 sulla reputazione del sistema bancario Italiano nell’opinione dei correntisti.

Figura 15 – Descrizione dell’impatto reputazionale



RAPPORTO DI RICERCA


Pagina 39 di 60

Fonte: CeSAR – Centro di Studi Accademici sulla Reputazione, 2008

La messa a punto di un sistema di indicatori reputazionali che consenta di valutare in modo più analitico le conseguenze di un evento di non conformità può dunque essere realizzata a partire dalle variabili di esperienza:

1. ulteriormente dettagliandole in una serie di indicatori (o variabili di secondo livello) specifici per le diverse tipologie di stakeholder e possibilmente allineati alle variabili di uso corrente per la misurazione della reputazione aziendale (o variabile ad essa correlata) ;

2. pesando (tramite rilevazione campionaria) la forza delle relazioni che legano, per ogni tipologia di stakeholder, tali indicatori alle variabili di sentimento e, auspicabilmente, le variabili di sentimento a quelle di comportamento (modello di equazioni strutturali sottostante);

3. identificando gli eventuali “aloni” reputazionali (esistenza di indicatori tra loro fortemente correlati) al fine di eliminare ridondanze indesiderate nel sistema di indicatori;

4. misurando infine l’impatto derivante, su tali indicatori di esperienza (o indicatori reputazionali), dall’evento primario di non conformità al fine di comporre (ad esempio tramite media ponderata) un indicatore complessivo di impatto reputazionale.

L’esito dell’attività di pesatura delle relazioni e di identificazione degli “aloni” reputazionali, condotta da CeSAR nel citato studio, è presentata nella tabella che segue (figura 17).

Figura 16 – Relazioni causa – effetto nella reputazione aziendale



RAPPORTO DI RICERCA


Pagina 40 di 60

Fonte: CeSAR – Centro di Studi Accademici sulla Reputazione, 2008

La valutazione dell’impatto reputazionale può essere, infine, condotta come segue:

1. attivazione della variabile di esperienza di primo livello al superamento di una soglia determinata sulla base del peso degli indicatori di esperienza di secondo livello impattati;

2. attivazione dell’indicatore di impatto reputazionale al superamento di una soglia determinata in base al peso delle relazioni tra variabili di esperienza attivate e variabili di sentimento.

Ove disponibile, una pesatura delle relazioni tra indicatori di secondo livello (di esperienza e sentimento), consente di procedere con il passo 2.

La pesatura delle relazioni tra variabili di sentimento e variabili di comportamento consente inoltre di stimare (ed eventualmente quantificare) i possibili effetti dell’evento di natura reputazionale.

Nota applicativa sulle modalità di presidio del rischio reputazionale

La necessità di mantenere evidenza delle possibili conseguenze reputazionali di un evento

di non conformità, deriva dalla specificità di trattamento al quale è soggetta questa

categoria di rischio, che prevede l’utilizzo delle seguenti leve:

− abbattimento della frequenza di accadimento dell’evento primario di non

conformità (leva di compliance);

− attivazione di un piano di intervento a seguito del verificarsi dell’evento

primario di non conformità ma prima che le conseguenze reputazionali inizino

a manifestarsi (coinvolgimento della funzione);

Figura 17 – Pesatura delle relazioni causa – effetto



RAPPORTO DI RICERCA


Pagina 41 di 60

− attivazione di un piano di crisi, a seguito del manifestarsi delle conseguenze

reputazionali dell’evento primario di non conformità (minore o trascurabile

coinvolgimento della funzione).

Risulta comunque fondamentale per l’impresa attivare tali presidi, inquadrandoli nel

contesto di una gestione unitaria del rischio reputazionale. Elemento critico in relazione

all’adozione di tali criteri, è la loro condivisione con le altre strutture di controllo.

Bisogna tenere ben presente che, alla luce della sua natura, la gestione del rischio

reputazionale non può essere esclusivamente attribuita alla funzione di compliance:

“sia l’internal audit che la funzione di compliance contribuiscono alla formazione e al

consolidamento della reputazione, non però in maniera esclusiva poiché vi concorrono

insieme con tutte le altre strutture di controllo e gestione”

Prof. Mario Sarcinelli, IV Convegno Compliance, giugno 2008 c/o Dexia Crediop

E’ tuttavia attribuito, ex lege, alla funzione di compliance il presidio del rischio

reputazionale associato a eventi di non conformità.

Nota applicativa sul monitoraggio delle aree ad elevato rischio inerente

Già a seguito della valutazione di rischio inerente può emergere la necessità di definire

opportuni indicatori di rischio (key risk indicator – kri o compliance risk indicator ‐ cri) che,

da un lato, consentano di tenere sotto controllo la frequenza di accadimento degli eventi

rischiosi maggiormente significativi, dall’altro e soprattutto, consentano di segnalare

anticipatamente il possibile verificarsi di tali eventi.

Ove definiti, il monitoraggio degli indicatori di rischio dovrebbe poter essere effettuato

dalla funzione di compliance mediante tecniche di monitoraggio a distanza.

3.2 Valutazione di adeguatezza dei controlli in essere

Vengono quindi identificati e valutati (ex ante) i controlli e le altre misure di mitigazione eventualmente in essere (ambiente di controllo), in questa fase sotto il mero profilo della loro adeguatezza. Si misura, cioè, la loro capacità prospettica di mitigare il rischio di non conformità, per confronto con i cosiddetti “controlli virtuosi” (principali misure di controllo) identificati a seguito della fase di pre – assessment.

In questa fase non viene effettuata una valutazione in merito all’efficacia dei controlli e delle altre misure di mitigazione posti a presidio dei rischi individuati, né alla loro continuità di applicazione.



RAPPORTO DI RICERCA


Pagina 42 di 60

Il grado di adeguatezza dei controlli in essere (figura 18) può essere determinato a partire da fattori quali:

− la presenza di controlli, processi e procedure;

− la presenza di altri fattori di mitigazione (endogeni o esogeni);

− l’ampiezza e qualità dei controlli;

− il livello di centralizzazione dei controlli;

− il grado di automazione dei controlli;

− il tasso di rotazione del personale addetto ai controlli;

− il livello di formazione (in materia di controlli) del personale addetto ai controlli.

Nota applicativa sulle percentuali di abbattimento del rischio inerente

Le percentuali di abbattimento del rischio inerente per adeguatezza dei controlli

dovrebbero essere allineate a quelle adottate dalle funzioni di revisione interna e,

eventualmente, risk management.

3.3 Valutazione del rischio residuo (o rischio netto)

La valutazione di adeguatezza dei controlli e delle altre misure di mitigazione in essere porta alla determinazione del rischio residuo o rischio netto, che rappresenta la componente di rischio non presidiata dall’impresa.

Nelle metodologie di risk assessment tale determinazione avviene, normalmente, in base ad una semplice formula del tipo:

RISCHIO RESIDUO = RISCHIO INERENTE x (1 – CONTROLLO / 100)

Il valore (score) così calcolato colloca il rischio residuo all’interno di una delle seguenti classi di rischio (figura 19) e può determinare la necessità di intervenire con azioni di tipo correttivo.

Figura 18 – Valutazione di adeguatezza dei controlli



RAPPORTO DI RICERCA


Pagina 43 di 60

Anche la valutazione di rischio residuo richiede un consistency check dei criteri utilizzati per la valutazione dei controlli in essere e una decisione in merito al trattamento dei livelli di rischio emergenti come accettabili.

Nell’ambito della valutazione dell’ambiente di controllo, così come nella successiva programmazione degli interventi correttivi, si dovrà tener conto del grado di diffusione della “cultura del controllo” e la formazione del personale in materia di compliance, in quanto fondamentali elementi di mitigazione del rischio.

L’esito dell’attività di compliance risk assessment sui processi è descritto in modo dettagliato e con profondità storica nella compliance risk matrix, una tabella nella quale sono raccolte e periodicamente aggiornate, per le normative appartenenti al perimetro presidiato dalla funzione di compliance, le seguenti informazioni:

− requisito normativo;

− descrizione del rischio;

− sanzioni applicabili in caso di mancata osservanza del requisito normativo;

− descrizione del controllo virtuoso;

− processi e procedure interne impattati;

− funzione o unità organizzativa di riferimento;

− valutazione del rischio inerente (componente regolamentare);

− valutazione della componente reputazionale;

− indicatore di rischio (eventuale);

− controlli e altre misure di mitigazione in essere;

− valutazione dei controlli (per adeguatezza e/o efficacia);

− valutazione del rischio residuo;

− descrizione delle azioni correttive;

− tipo e frequenza dei compliance test.

Figura 19 – Classi di rischio residuo per adeguatezza



RAPPORTO DI RICERCA


Pagina 44 di 60

3.4 Gap analysis e predisposizione del piano di interventi correttivi

Una parziale o totale inadeguatezza dei controlli e delle altre misure di mitigazione, a fronte di valori del rischio residuo che superano la soglia di tollerabilità definita dall’impresa (gap analysis), determinano la necessità di intervenire con azioni correttive atte a ricondurre il rischio entro i limiti definiti.

Nella programmazione degli interventi correttivi, così come nella valutazione dell’ambiente di controllo, si dovrà tener conto del grado di diffusione della “cultura del controllo” e la formazione del personale in materia di compliance, in quanto fondamentali elementi di mitigazione del rischio.

Nota applicativa sul piano degli interventi correttivi

Il piano di interventi correttivi predisposto, nella sua formulazione di alto livello, dalla

funzione di compliance, è normalmente oggetto di discussione con le altre funzioni

appartenenti al sistema dei controlli interni e con le altre funzioni interessate (in primis,

organizzazione e process owner), con l’obiettivo di definirne le priorità anche alla luce di

vincoli di natura “esogena” rispetto all’area presidiata dalla funzione (ad esempio, piani di

intervento già programmati a fronte di esigenze emergenti dal mercato o di aree a

rischiosità elevata rilevate nel corso delle verifiche di revisione interna, grado di rischio

operativo associato agli interventi proposti, costo e durata degli interventi ecc.) ed è

soggetto ad approvazione da parte dell’organo amministrativo prima di diventare

esecutivo.

Tali interventi dovranno essere attuati in base a priorità ben definite (figura 20).

Nell’ambito della valutazione dell’ambiente di controllo, così come nella successiva programmazione degli interventi correttivi, si dovrà tener conto del grado di diffusione della “cultura del controllo” e la formazione del personale in materia di compliance, in quanto fondamentali elementi di mitigazione del rischio.

Figura 20 – Priorità degli interventi correttivi



RAPPORTO DI RICERCA


Pagina 45 di 60

Nota applicativa su rischiosità e “risk appetite”

Il rischio di non conformità non si presta ad essere trattato, come altre fattispecie di

rischio, sulla base di valutazioni di “costo / opportunità”, anche per la presenza di una

componente reputazionale spesso rilevante nei suoi effetti potenziali.

Ne consegue che le politiche di presidio del rischio di non conformità dovrebbero tendere

al suo azzeramento (obiettivo di presidio ideale).

Nella pratica, tuttavia, si tende a definire una soglia di rischio oltre la quale vengono

attivate una serie di misure di mitigazione (piano di interventi) e monitoraggio (piano dei

compliance test, indicatori per il monitoraggio a distanza, ecc.).

La predisposizione e successiva esecuzione del piano di interventi correttivi pone una serie di questioni in merito al ruolo della funzione di compliance.

Nota applicativa sugli interventi correttivi

Predisposizione del piano di interventi. La funzione di compliance si limita alla

formulazione di policy di alto livello, demandando alle funzioni / unità organizzative

implicate e ai process owner, la trasposizione di tali policy in procedure operative e piani di

intervento sui sistemi, con l’ausilio dell’organizzazione e dei sistemi informativi.

Esecuzione del piano di interventi. La funzione di compliance deve assumere un ruolo di

riconduzione ad unità dei flussi informativi relativi all’attuazione degli interventi correttivi,

al fine di verificare che la loro esecuzione sia coerente con quanto previsto dal piano e

informare, in caso di necessità, gli organi di vertice della Compagnia.

Emerge il problema dell’attribuzione di una ownership a tale fondamentale attività di

carattere attuativo. Alla luce delle competenze implicate, si ritiene che tale responsabilità

potrebbe essere assunta dalla funzione / unità organizzativa implicata, dal process owner

ovvero dall’organizzazione.

Il piano degli interventi correttivi dovrà prendere in esame sia gli interventi orientati a diminuire la frequenza di accadimento dell’evento rischioso, sia quelli orientati a diminuirne il peso in caso di accadimento sia, infine, gli interventi orientati ad influire, rafforzandole, sulle altre misure di mitigazione eventualmente in essere.

Il monitoraggio delle aree ad elevato rischio residuo deve prevedere interventi di verifica (compliance test) periodicamente operati dalla funzione di compliance (in forma diretta o, in casi particolari, per tramite della funzione di revisione interna) con una frequenza legata alla gravità del rischio residuo rilevato (figura 21).



RAPPORTO DI RICERCA


Pagina 46 di 60

Nel monitoraggio del sistema di compliance, la funzione può effettuare interventi di verifica diretta (compliance test) ovvero avvalersi di tecniche di controllo a distanza e approcci di risk self-assessment nonché, come è già stato evidenziato, del contributo della funzione di revisione interna.

Nota applicativa sul contributo della revisione interna nei compliance test

Tale contributo dovrebbe essere strutturato su base programmatica (accordo di servizio e

allineamento tra i piani di intervento delle due funzioni) ed essere finalizzato a sopperire a

eventuali carenze di organico o limitazioni nella presenza territoriale della funzione di

compliance (ad esempio, verifiche di compliance sulla rete agenziale).

3.5 Valutazione di efficacia dei controlli e rideterminazione del rischio residuo

Nella fase successiva (ex post), il rischio residuo viene rideterminato sulla base dell’efficacia e della continuità di applicazione dei controlli e delle altre misure di mitigazione in essere o predisposti a seguito della gap analysis.

La valutazione di efficacia dei controlli (figura 22) può essere condotta dalla funzione di compliance mediante test (compliance test) e verifiche periodiche. La continuità nell’applicazione dei controlli può emergere dall’attività di ispettorato (eventualmente, previo allineamento dei piani di intervento delle due funzioni). Utili indicazioni in merito a efficacia e continuità di applicazione dei controlli possono anche emergere dalle valutazioni effettuate dalla funzione di risk management sul rischio operativo.

Figura 21 – Frequenza dei compliance test

Figura 22 – Valutazione di efficacia dei controlli



RAPPORTO DI RICERCA


Pagina 47 di 60

La valutazione di efficacia dei controlli è una responsabilità attribuita, dalla normativa in vigore (Regolamento n. 20), alla funzione di compliance. Tale valutazione si basa sugli esiti di rilevazioni a distanza e di verifiche operate in loco.

Nota applicativa sulle verifiche in loco

Per quanto riguarda queste ultime (verifiche in loco), è opinione del tavolo di lavoro che

possano essere sia condotte direttamente dalla funzione di compliance (compliance test

generalmente mirati ad indagare aree di particolare esposizione al rischio di non

conformità), sia delegate alla funzione di revisione interna (previo accordo programmatico

tra le parti) che si limiterebbe, in questo caso, a dar conto dell’esito degli interventi

effettuati, lasciando alla funzione di compliance la responsabilità di formulare una

valutazione complessiva di efficacia.

Come già evidenziato, il ricorso alla revisione interna dovrebbe essere finalizzato a

sopperire a eventuali carenze di organico o limitazioni nella presenza / capillarità

territoriale della funzione di compliance.

La rideterminazione (score) del rischio residuo a seguito della valutazione di efficacia dei controlli avviene tramite applicazione della solita formula al rischio inerente

RISCHIO RESIDUO = RISCHIO INERENTE x (1 – CONTROLLO / 100)

ciò che ne determina l’appartenenza ad una delle classi di rischio residuo (figura 23):

Classi di rischio residuo (nella pratica aziendale)

Alle classi di rischio residuo emergenti dalla fase di valutazione dei controlli per adeguatezza ed efficacia può essere attribuito il seguente significato:

− valore 5: il rischio inerente è molto alto o alto e le tecniche di controllo in essere sono assenti o inadeguate a monitorare o a ridurre il rischio a un livello accettabile;

Figura 23 – Classi di rischio residuo per efficacia



RAPPORTO DI RICERCA


Pagina 48 di 60

− valore 4: il rischio inerente è molto alto, alto o medio e le tecniche di controllo in essere sono assenti, inadeguate o in prevalenza inadeguate e quindi non sono idonee a monitorare o a ridurre il rischio a un livello accettabile;

− valore 3: il rischio inerente è alto o medio e le tecniche di controllo in essere sono in prevalenza inadeguate e quindi non sono idonee a monitorare o a ricondurre il rischio a un livello accettabile;

− valore 2: il rischio inerente è molto alto, alto, medio o basso e le tecniche di controllo in essere sono sostanzialmente idonee, a presidiarlo, rendendolo accettabile, fermi restando possibili suggerimenti per il loro affinamento;

− valore 1: le tecniche di controllo sono correlate al rischio da presidiare e quindi il rischio residuo è accettabile.

Le percentuali di abbattimento del rischio inerente per efficacia dei controlli e le classi di rischio emergenti dovrebbero essere allineate a quelle adottate dalle funzioni di revisione interna e risk management.

E’ solo al termine di questa fase di valutazione ex post, quando i controlli e le azioni di mitigazione posti a presidio del rischio di non conformità sono stati valutati sia sotto il profilo dell’adeguatezza sia sotto quello dell’efficacia, che è possibile dare conto dell’effettiva esposizione dell’impresa finanziaria al rischio di non conformità (figura 24).

Figura 24 – Valutazione del rischio residuo



RAPPORTO DI RICERCA


Pagina 49 di 60

Nota sugli strumenti informatici a supporto delle attività di compliance

La conduzione operativa e il governo della funzione di compliance non possono prescindere dall’adozione di strumenti informatici in grado, da un lato, di rendere efficiente lo svolgimento delle attività di compliance, dall’altro, di valutarne l’efficacia in relazione agli obiettivi di presidio del rischio.

Alla luce della molteplicità delle fonti informative, interne ed esterne all’impresa e delle numerose interrelazioni tra la funzione di compliance e le altre unità organizzative coinvolte, a diverso titolo e con diversi gradi di responsabilità, nelle attività di compliance, con l’aiuto delle aziende partecipanti al tavolo di lavoro, sono state messe in luce alcune fondamentali caratteristiche, strutturali e funzionali, di tali strumenti.

In primo luogo, è stata evidenziata la necessità di integrare, armonizzandole, le diverse fonti informative esterne e interne all’impresa, a partire dal repository delle normative per finire a quello dei processi, con le evidenti interrelazioni tra i due in termini di valutazioni d’impatto delle normative sui processi.

In secondo luogo, la capacità di supportare, attraverso l’implementazione di adeguate metodologie e l’adozione di efficaci logiche di process management, tutte le attività proprie del processo di compliance e i relativi scambi informativi, sia di carattere operativo che strategico (compliance planning e compliance reporting, notifiche).

In ultimo, la necessità di affrontare il tema della gestione dei rischi emergenti dai processi sulla base di una visione unitaria, comune all’intero sistema dei controlli interni dell’impresa assicurativa, senza limitarsi al rispetto dei meri obblighi regolamentari, bensì adottando quella visione ampia e integrata propria dei più avanzati sistemi di governance, risk & compliance.



RAPPORTO DI RICERCA


Pagina 50 di 60



RAPPORTO DI RICERCA


Pagina 51 di 60

Allegato – Fondamenti teorici per lo sviluppo di un sistema di indicatori reputazionali

Nel presente allegato sono riportati gli esiti del tavolo di lavoro recentemente condotto da CeTIF sul tema della reputazione nelle istituzioni finanziarie.

A.1 Un modello di riferimento basato su nessi causali

Esiste una vasta raccolta di letteratura accademica sul tema della reputazione aziendale e, in particolare, sui criteri da adottare per la misurazione della reputazione. Tuttavia, non è sempre chiaro come i diversi modelli possano tra loro interagire, complementarsi o confliggere, né quali siano le circostanze che ne rendono appropriato l’utilizzo.

Nel lavoro “Beyond reputation measurement: placing reputation within a model of value creation by integrating existing measures into a theoretical framework”, K. Money e C. Hillenbrand propongono un modello di riferimento teorico fondamentale, in grado di integrare l’approccio di chi guarda alla reputazione come ad un insieme di percezioni, cognizioni e azioni sviluppate dagli individui nei confronti delle organizzazioni (prospettiva cognitiva) e quello di chi la considera come elemento fondante del “pensare strategico” di un’organizzazione (prospettiva strategica), evidenziandone la complementarietà e la comune derivazione da un assunto concettuale che lega, mediante nessi causali, i fattori che sono all’origine della reputazione con le sue conseguenze.

La reputazione viene spesso considerata come un asset immateriale fondamentale per l’impresa, dal momento che entra nei processi di creazione del valore2. Un primo schema, utile a comprendere il ruolo della reputazione nell’ambito di tali processi, è quello rappresentato in figura A.1.

Fonte: elaborazione da Walsh e Wiedmann, 2004

Nella sua semplicità, il modello risulta di fondamentale importanza, anche in ragione degli sviluppi che ne sono seguiti, dal momento che inquadra la reputazione in un contesto di riferimento in grado di collegarne le cause (tutto ciò che può essere fatto dall’impresa per sviluppare una buona reputazione) con gli effetti (le ricadute di una buona reputazione in termini di valore per l’impresa). 2 Zabala I., Panadero G., Gallardo L. M., Amate C. M., Saanchez-Galindo M., Tena I., Villalba I., Corporate Reputation in Professional Sevices Firms: ‘Reputation Management Based on Intellectual Capital Management’. Corporate Reputation Review. Vol. 8, No. 1, 2005; Roberts P. W., Corporate Reputation and Sustained Superior Financial Performance. Strategic Management Journal. Vol. 23, No. 12, 2002.

Figura A.1 – Modello di riferimento causale



RAPPORTO DI RICERCA


Pagina 52 di 60

Lo schema di figura A.1 è stato quindi esplorato in una prospettiva strategica, che rappresenta il punto di vista dell’impresa in relazione al mercato e in una prospettiva cognitiva, che rappresenta il punto di vista degli individui (stakeholder) in relazione all’impresa.

A.2 La reputazione in una prospettiva strategica

Nell’ambito dei modelli utilizzati per rappresentare la performance d’impresa in una prospettiva strategica, la reputazione è spesso collocata tra gli asset aziendali (figura A.2).

Fonte: Wiedmann e Prauschke, 2005

Wiedmann e Prauschke3 evidenziano come la reputazione possa essere considerata, nell’ambito di tali modelli, sia un asset di mercato, in relazione al suo ruolo determinante per il successo dell’impresa (sulla base di una visione, applicabile in modo particolare a settori di mercato caratterizzati dalla centralità del rapporto fiduciario con la clientela, nella quale il mercato compra de facto la reputazione dell’impresa) sia una sorta di mediatore tra gli asset immateriali interni e quelli di mercato (sulla base di una visione nella quale la reputazione favorisce l’associazione tra i valori d’impresa e gli asset di mercato, promuovendo questi ultimi nei confronti del mercato).

In questo contesto, l’integrazione (Money e Hillenbrand) tra i modelli di riferimento delle figure A.1 e A.2 consente di rappresentare la reputazione come un asset immateriale, le cui origini sono da ricercare, sul piano concettuale, nell’ambito delle attività di generazione di tali asset mentre gli effetti ricadono nell’ambito degli asset di mercato e possono essere letti e interpretati alla luce della performance complessiva dell’impresa (figura A.3).

3 K. P. Wiedmann, C. Prauschke, Intangible Assets and Corporate reputation – Conceptual Relationships and Implications for Corporate Practice. Paper presented at the Reputation Institute Conference 2005 in Madrid.

Figura A.2 – Modello strategico per la performance d’impresa



RAPPORTO DI RICERCA


Pagina 53 di 60

Fonte: Money e Hillenbrand, 2006

Peraltro, tale approccio appare del tutto in linea con quella parte della letteratura accademica che colloca la reputazione aziendale tra gli asset immateriali considerati strategici per la creazione di valore e considera asset di mercato quali customer retention e customer loyalty come direttamente correlati alla performance economica dell’impresa.

Sotto questa luce, il modello di figura A.3 può essere visto come il primo passo di un approccio volto a collocare la reputazione aziendale all’interno dei processi di creazione del valore.

A.3 La reputazione in una prospettiva cognitiva

Altrettanto numerosi sono gli studi che descrivono la reputazione in relazione a come un’impresa viene percepita dai suoi stakeholder. Lo sviluppo e il completamento del modello di riferimento causale non possono pertanto prescindere dall’integrazione di una prospettiva strategica e di una prospettiva cognitiva, che dia conto di tale percezione.

Fombrun (2000) e Waddock (2003)4 pongono la reputazione di un’organizzazione in relazione a concetti quali le esperienze percettive, i sentimenti e i comportamenti dei cosiddetti “portatori di interesse” nei riguardi dell’organizzazione (stakeholder). Ma come interagiscono tra loro questi concetti? In altri termini, si tratta di concetti che definiscono nel loro insieme la reputazione oppure alcuni sono da ricondurre ai fattori originari e altri alle conseguenze?

Fishbein e Ajzen (1975)5 hanno per primi sviluppato una teoria che integra in un modello causale concetti quali esperienze, convinzioni, attitudini, intenzioni e comportamenti sviluppati dagli individui nei confronti di un dato oggetto (figura A.4).

4 Waddock S., Stakeholder Performance implications of Corporate Responsibility. International Journal of Performance Management. Vol. 5, No.2-3, 2003. 5 Fishbein M., Ajzen I., Belief, Attitude, Intention and Behavior: An Introduction to Theory and Research, 1975.

Figura A.3 – Integrazione tra modello causale e prospettiva strategica



RAPPORTO DI RICERCA


Pagina 54 di 60

Fonte: Fishbein e Ajzen, 1975

In base a tale modello, le esperienze rappresentano il fattore originario fondamentale e possono essere di tipo diretto (esperienze e osservazioni) o indiretto (informazioni provenienti da fonti esterne). Le esperienze vissute o acquisite in relazione ad un dato oggetto determinano, sulla base di relazioni causa – effetto, prima convinzioni, quindi attitudini, infine intenzioni ad assumere determinati comportamenti nei confronti dell’oggetto dato.

L’integrazione (Money e Hillenbrand) tra i modelli di riferimento delle figure A.1 e A.4 consente di rappresentare la reputazione, in una prospettiva cognitiva, come l’insieme delle convinzioni e attitudini maturate dagli stakeholder nei confronti dell’impresa a partire dal vissuto di esperienze e osservazioni dirette e mediate, le cui conseguenze sono da ricercare nelle intenzioni sviluppate e nei comportamenti conseguentemente assunti (figura A.5).


A.4 Integrazione tra le prospettive strategica e cognitiva

E’ stato evidenziato come la reputazione aziendale possa essere contestualizzata sulla base di due differenti modelli. Il modello strategico risulta importante per comprendere il ruolo della reputazione nei processi di creazione del valore, mentre il modello cognitivo è rilevante per comprendere i meccanismi attraverso i quali si forma la reputazione, con l’obiettivo di svilupparla o salvaguardarla.

Figura A.4 – Modello di relazioni causali tra esperienze e comportamenti

Figura A.5 – Integrazione tra modello causale e prospettiva cognitiva



RAPPORTO DI RICERCA


Pagina 55 di 60

Del tutto evidenti risultano, a questo stadio, i benefici che possono derivare, per una trattazione della reputazione in chiave unitaria, dall’integrazione tra questi due approcci e il modello di riferimento causale più volte utilizzato (figura A.6).


L’ultima e conclusiva parte del lavoro di Money e Hillenbrand consiste nella collocazione, all’interno del modello di riferimento causale, delle principali teorie sulla reputazione e delle metriche in esse indicate per la sua misurazione.

In figura A.7 è riportata una sintesi dei risultati, limitatamente al modello SPIRIT di MacMillan e altri (2004), che pone le basi per lo sviluppo del sistema di indicatori reputazionali presentato nel capitolo che segue.


Figura A.6 – Modello causale e prospettive strategica / cognitiva

Figura A.7 – Integrazione tra modello causale e modello di MacMillan



RAPPORTO DI RICERCA


Pagina 56 di 60

Se si estende l’analisi al quadro di riferimento generale, emerge in modo evidente che:

− le metriche sviluppate nell’ambito dei differenti modelli di reputazione appaiono del tutto complementari e sembrano riferirsi, se pure entro certi limiti, ad assunti concettuali tra loro simili;

− l’applicazione del modello causale evidenzia come le ricerche finora condotte si siano focalizzate sulla misurazione della reputazione aziendale (o delle variabili ad essa riconducibili) piuttosto che sull’identificazione e misurazione dei fattori originari e delle sue conseguenze.

Ancora, il quadro di riferimento generale si presta ad un approfondimento del concetto di reputazione condotto lungo diverse direttrici, rispettivamente orientate a:

− capire attraverso quali meccanismi si forma la reputazione aziendale, con riferimento ai modelli di misurazione che puntano ai cosiddetti fattori originari;

− valorizzare gli asset immateriali dell’impresa, con riferimento ai modelli che rappresentano la reputazione in termini di convinzioni e attitudini degli stakeholder;

− capire l’impatto della reputazione sul valore e sulle performance d’impresa, con riferimento ai modelli che si focalizzano sulle conseguenze della reputazione;

− guardare alla reputazione come ad un concetto unitario e dinamico, con riferimento all’integrazione tra le prospettive strategica e cognitiva.

Di particolare interesse è il modello di riferimento ristretto (figura A.7), in quanto propone metriche nelle seguenti quattro aree:

1. Esperienze dirette degli stakeholder in termini di capacità di comunicazione da parte dell’impresa (ascolto e informazione), qualità (livello) del servizio, condivisione di valori, capacità di mantenere gli impegni assunti, atteggiamenti coercitivi, costo di chiusura del rapporto.

Con riferimento al modello causale, tali metriche si collocano tra i fattori che sono all’origine della reputazione, in quanto riferite alle esperienze vissute dagli stakeholder nel loro rapporto con l’impresa. In una prospettiva strategica, forniscono indicazioni in merito alle azioni che un’impresa può intraprendere per migliorare la qualità di tali esperienze.

2. Esperienze indirette degli stakeholder, maturate a seguito delle influenze subite da mezzi di comunicazione e gruppi di opinione.

Tali misure si collocano anch’esse tra i fattori che sono all’origine della reputazione, in quanto riferite all’acquisizione, nell’ambito della propria sfera esperienziale, di esperienze maturate da altri (esperienze mediate). In una prospettiva strategica, forniscono indicazioni circa la capacità dell’impresa di



RAPPORTO DI RICERCA


Pagina 57 di 60

influire in modo indiretto sulla qualità di tali esperienze, ad esempio attraverso un’attività di pubbliche relazioni.

3. Sentimenti sviluppati dagli stakeholder nei confronti dell’impresa. Includono concetti quali fiducia, coinvolgimento emotivo, complessiva positività emozionale.

Nell’ambito del modello causale, si riferiscono alle convinzioni maturate e alle attitudini sviluppate, sulla base di tali convinzioni, dagli stakeholder nei confronti dell’impresa e, come tali, possono essere considerate misure della reputazione. In una prospettiva strategica, sono indicatori rappresentativi degli asset immateriali sviluppati dall’impresa.

4. Comportamenti assunti dagli stakeholder nei confronti dell’impresa. Nel loro complesso, tali metriche si riferiscono all’intenzione (più o meno manifesta) da parte degli stakeholder di assumere determinati comportamenti nei confronti dell’impresa e implicano concetti quali cooperazione, mantenimento, estensione o sovvertimento della relazione.

Dal momento che sono concettualizzate come intenzioni, tali metriche possono essere considerate, nell’ambito del modello causale, come conseguenze della reputazione. Sul piano strategico, forniscono indicazioni in chiave prospettica sulla performance dell’impresa, essendo questa direttamente correlata al comportamento degli stakeholder.

A.5 Conclusioni

Coerentemente con il modello di riferimento causale di Money e Hillenbrand, è possibile concludere che la reputazione misura la forza delle relazioni di un’organizzazione con i propri stakeholder.

1. Forza che deriva dalle esperienze dirette e mediate.

Osservazione dei prodotti e delle azioni dell’organizzazione, diretta o indiretta perché raccontata o riportata all’interno del sistema di relazioni che ogni stakeholder ha (parenti, amici, opinion leader, mezzi di comunicazione).

2. Forza che si esercita nei sentimenti.

Fiducia intesa come aspettativa sulle performance future dell’organizzazione; coinvolgimento emotivo inteso come simpatia o ammirazione.

3. Forza che si manifesta in comportamenti di supporto.

Fedeltà, cioè l’intenzione di rimanere legato all’organizzazione; cooperazione, cioè l’intenzione di collaborare o difendere l’operato dell’organizzazione.



RAPPORTO DI RICERCA


Pagina 58 di 60

BIBLIOGRAFIA

A. Haynes, The effective articulation of risk-based compliance in banks, Journal of Banking Regulation, Vol. 6, Number 2, 2005.

AIIA- Associazione Italiana Internal Auditors, AICOM – Associazione Italiana Compliance, Le Funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competnza, Paper Congiunto, aprile 2008.

Bennett R., Kottasz R., Practitioner Perceptions of Corporate Reputation: an Empirical Investigation, Corporate Communications: An International Journal, vol. 5, n. 4 pp. 224-235, 2000.

CeSAR Centro Studi Accademici sulla Reputazione, La Reputazione del Sistema Bancario Italiano – Esperienze, Sentimenti e Comportamenti dei Correntisti verso la Propria Banca, Rapporto di Ricerca, 2007.

CeTIF, Riflessi Organizzativi della Compliance nelle Banche, Rapporto di Ricerca, 2006.

CeTIF, Riflessi Operativi della Compliance nelle Istituzioni Finanziarie, Rapporto di Ricerca, 2007.

CeTIF, Ruoli, processi e metodi per la gestione del rischio reputazionale nelle istituzioni finanziarie, 2009.

D. Neef, Managing Corporate Reputation and Risk, Corporate Reputation Review, Vol. 8, Number 2, 2005.

E. Bellizzi, ISVAP, La funzione di compliance nelle imprese di assicurazione: la prospettiva della Vigilanza, intervento al tavolo di lavoro CeTIF del 27 ottobre 2008.

Fishbein M., Ajzen I., Belief, Attitude, Intention and Behavior: An Introduction to Theory and Research, 1975.

Fombrun C. J., Reputation, Harvard Business School Press, 1996.

Freeman R.E., Harrison J.S. e Wicks A.C., Managing for Stakeholders: Survival, Reputation, and Success, Yale University Press, New Haven & London, 2007.

ISVAP, Regolamento N. 20 del 26 marzo 2008, Regolamento recante disposizioni in materia di controlli interni, gestione dei rischi, compliance ed esternalizzazione delle attività delle imprese di assicurazione ai sensi degli articoli 87 e 191, comma 1, del Decreto Legislativo 7 settembre 2005, N. 209 – Codice delle Assicurazioni Private.

ISVAP, Relazione al Regolamento N. 20 del 26 marzo 2008 (come sopra).

MacMillan K., Money K., Downing S. e Hillenbrand C., Reputation in Relationships: Measuring Experiences, Emotions and Behaviours, Corportate Reputation Review, Vol. 8, N. 3, pp 214-232, 2005

Money K., Hillenbrand C., Beyond Reputation Measurement: Placing Reputation Within a Model of Value Creation by Integrating Existing Measures into a Theoretical Framework, School of Reputation and Relationships, Henley Management College, UK, 2007.

P. A. Argenti, The Challenge of Protecting Reputation, Financial Times, September 30, 2005.

R. G. Eccles, S. C. Newquist, R. Shatz, Reputation and Its Risks, Harvard Business Review, February 2007.

Schwaiger M., Components and Parameters of Corporate Reputation – An Empirical Study, Schmalenbach Business Review, Vol. 56, January 2004, 46-71

Wiedmann K. P., Prauschke C., Intangible Assets and Corporate reputation – Conceptual Relationships and Implications for Corporate Practice. Paper presented at the Reputation Institute Conference 2005 in Madrid.

Zabala I., Panadero G., Gallardo L. M., Amate C. M., Saanchez Galindo M., Tena I., Villalba I., Corporate Reputation in Professional Sevices Firms: ‘Reputation Management Based on Intellectual Capital Management’. Corporate Reputation Review. Vol. 8, No. 1, 2005.



RAPPORTO DI RICERCA


Pagina 59 di 60



RAPPORTO DI RICERCA


Pagina 60 di 60

CeTIF Università Cattolica del Sacro Cuore

Largo Gemelli, 1 - 20123 Milano

Tel. + 39 02 72342590 Fax. + 39 02 43980770 E-mail: [email protected]

www.cetif.it

La Conduzione Operativa e il Governo 2.1 Approccio metodologico ... dell’impresa assicurativa e,...

Documents

Transcript of La Conduzione Operativa e il Governo 2.1 Approccio metodologico ... dell’impresa assicurativa e,...