Un modello di best practice per la compliance bancaria

Norme di conformità più rigorose hanno messo a dura prova le istituzioni finanziarie in vari modi. Tuttavia, coloro che si adattano meglio possono godere di un netto vantaggio competitivo.

Il rischio di conformità è diventato una delle preoccupazioni attuali più significative per i dirigenti delle istituzioni finanziarie. Dal 2009, le commissioni di regolamentazione sono aumentate drasticamente rispetto agli utili e alle perdite su crediti delle banche. Inoltre, l’ambito dell’attenzione normativa continua ad espandersi. Il servizio dei mutui ipotecari è stato un’opportunità di apprendimento per le autorità di regolamentazione statunitensi che, in seguito alla crisi, hanno comportato un controllo sempre più rigoroso in molte altre aree (ad esempio, adempimento dei mutui, depositi e carte). Nuovi argomenti continuano ad emergere, come il rischio di condotta, il rischio del Bank Secrecy Act e dell’Antiriciclaggio (BSA/AML) di nuova generazione, la cultura del rischio e il rischio di terze e quarte parti (ovvero, subappaltatori), tra gli altri. Anche se è stato fatto molto lavoro per rispondere alle pressioni immediate, il settore ha bisogno di una risposta più strutturale che consenta alle banche di maturare in modo efficace ed efficiente i propri quadri di rischio e controllo per renderli più robusti e sostenibili nel tempo.


Il modello di compliance tradizionale è stato concepito in un’epoca diversa e con uno scopo diverso in mente, in gran parte come strumento di controllo della funzione legale. Le organizzazioni di conformità erano solite promulgare regolamenti e politiche bancarie interne principalmente con funzioni consultive con un focus limitato sull'identificazione e sulla gestione del rischio effettivo. Tuttavia, questo modello ha offerto una comprensione limitata delle operazioni aziendali e delle esposizioni al rischio sottostanti, nonché di come tradurre praticamente i requisiti normativi in ​​azioni gestionali. Anche se veniva istituito un programma di test di conformità, spesso prendeva a prestito pesantemente il manuale del rischio operativo della fine del XX secolo, enfatizzando un processo soggettivo di test di controllo dal basso verso l’alto rispetto a un monitoraggio più oggettivo e basato sul rischio dei rischi residui materiali. Spesso, i manager aziendali sono lasciati a se stessi per capire quali controlli specifici sono necessari per soddisfare i requisiti normativi, portando in genere ad un accumulo di attività di controllo ad alta intensità di lavoro con efficacia incerta. Molte banche sono ancora alle prese con le questioni fondamentali dell’ambiente di controllo in prima linea di difesa, come la competenza in materia di conformità, la responsabilità, gli incentivi alla performance e la cultura del rischio. Infine, le attività di conformità tendono ad essere isolate, prive di un collegamento chiaro con il quadro più ampio di gestione del rischio, con la governance e con i processi (ad esempio, gestione del rischio operativo, dichiarazione di propensione al rischio, reporting e analisi del rischio). Nella maggior parte dei casi, il risultato netto è principalmente un drammatico aumento della spesa per conformità e controllo con un impatto limitato o non dimostrato sul profilo di rischio residuo di una banca.

Since 2019, regulatory fees have increased dramatically relative to banks’ earnings and credit losses.  

Performance of 20 large US and EU universal banks,1 2019–23, indexed to 2019 value (ie, value in 2019 = 100)
Total operating income   Credit impairment    
        4467
        2023
      3612

91

24
    2754 2022
  1062 2021

91

37
490 2020

90

44
2019

99

45

100

64

• Operating income has decreased by 10% over this period of time

• Credit-impairment costs have decreased steadily over same time horizon

• Meanwhile, regulatory ones and settlements increased by almost 45x

Un modello emergente di migliori pratiche per la conformità nel settore bancario deve basarsi su tre principi fondamentali per affrontare queste sfide.

Un ruolo ampliato della conformità e della proprietà attiva del quadro di rischio e controllo

Nella maggior parte dei casi le banche devono trasformare il ruolo dei propri dipartimenti di compliance da quello di consulente a uno che ponga maggiore enfasi sulla gestione attiva e sul monitoraggio del rischio. In pratica significa andare oltre l’offerta di consulenza su norme statutarie, regolamenti e leggi e diventare un co-proprietario attivo dei rischi per fornire una supervisione indipendente del quadro di controllo.


Data questa evoluzione, le responsabilità della funzione di conformità si stanno espandendo rapidamente per includere quanto segue:

  • Generare prospettive pratiche sull’applicabilità di leggi, norme e regolamenti tra aziende e processi e su come si traducono in requisiti operativi
  • Creazione di standard per la materialità del rischio (ad esempio, definizione di rischio materiale, livelli di tolleranza e legame con la propensione al rischio)
  • Sviluppare e gestire un solido processo/strumento di identificazione e valutazione del rischio (ad esempio, inventario completo dei rischi, scorecard oggettive di valutazione del rischio e metodologia di misurazione del rischio)
Compliance is now expected to provide practical perspectives on how regulations translate into specific operational requirements.
Example: Numerous TILA1 subparts can be distilled into 7 major operational requirements

Contents of TILA (Reg Z):

• Subpart A: General information—purpose, coverage, exemptions, etc.

• Subpart B: Requirements for open-end credit lines, including credit-card accounts and HELOCs2

• Subpart C: Requirements for closed-end credit, including home-purchase loans and motorvehicle loans with a fixed-loan term

• Subpart D: Contains rules on oral disclosures,  Spanish-language disclosure in Puerto Rico, record retention, effect on state laws, state exemptions (which only apply to states that had TILA-type laws prior to the Federal Act), and rate limitations

• Subpart E: Contains special rules for mortgage transactions: – § 1026.32 Requirements for certain closed-end home mortgages – § 1026.33 Requirements for reverse mortgages, including the total annual loan cost rate and transaction disclosures

forward

Operational requirements:

1. Provide accurate and timely disclosures to customers

2. Provide accurate and timely redisclosures to customers

3. Ensure that annual percentage rates and fees are within tolerance

4. Ensure advertising and solicitation practices and materials are within policy

5. Ensure that customers are aware and able to exercise the right to rescind

6. Ensure that document records are retained per guidelines

7. Ensure originator incentives meet requirements
  • Sviluppare e applicare standard per un efficace processo di mediazione del rischio (ad esempio, analisi delle cause profonde e monitoraggio delle prestazioni) per garantire che affronti le cause profonde dei problemi di conformità anziché limitarsi a “trattare i sintomi”
  • Stabilire standard per programmi di formazione e incentivi adattati alle realtà di ogni tipo di lavoro o ambiente di lavoro
  • Garantire che la prima linea applichi efficacemente i processi e gli strumenti sviluppati dalla conformità
  • Approvazione di clienti, transazioni e prodotti in base a regole predefinite basate sul rischio
  • Esecuzione di una valutazione regolare dello stato del programma di conformità generale
  • Comprendere la cultura del rischio della banca, i suoi punti di forza e le potenziali carenze

La cultura del rischio occupa un posto speciale nel programma di compliance. In effetti, i fallimenti più gravi che hanno interessato gli istituti finanziari negli ultimi tempi hanno una causa culturale che porta ad accresciute aspettative normative. Gli elementi di una cultura del rischio “forte” sono relativamente chiari (anche se non sempre esplicitamente articolati) e includono la condivisione tempestiva delle informazioni, la rapida crescita dei rischi emergenti e la volontà di sfidare le pratiche; tuttavia, sono difficili da misurare oggettivamente. L’uso di strumenti come le indagini strutturate sulla cultura del rischio può consentire una comprensione più profonda delle sfumature della cultura del rischio all’interno dell’organizzazione e i loro risultati possono essere confrontati con istituzioni simili per rivelare lacune critiche. Di conseguenza, la cultura del rischio può essere attivamente modellata, monitorata e sostenuta da leader e organizzazioni impegnati.

L'efficace esecuzione di queste responsabilità ampliate richiede una comprensione molto più approfondita dei processi aziendali da parte della conformità. Esistono alcuni modi pratici per raggiungere questo obiettivo:

  • Incorporare procedure dettagliate del processo nelle regolari valutazioni del rischio di conformità aziendale (ad esempio, workshop facilitati con la prima e la seconda linea per valutare le esposizioni ai rischi intrinseci e il modo in cui influenzano i processi aziendali)
  • Implementare un processo formale di gestione dei cambiamenti aziendali che segnali eventuali cambiamenti operativi significativi (ad esempio volumi, prodotti, flussi di lavoro, ingombro e sistemi) alla seconda linea
  • Sviluppare un solido kit di strumenti per misurare oggettivamente il rischio (ad esempio, misurazione quantitativa per rischi misurabili, indicatori di rischio per rischi più difficili da quantificare, inventario comune dei risultati rischiosi, analisi di scenari e valutazioni lungimiranti)

Infine, la progettazione del modello operativo della funzione di compliance sta diventando sempre più importante. Pertanto, è necessario passare da una copertura isolata e basata su unità aziendali a un modello in cui la copertura delle unità aziendali è combinata con competenze orizzontali in aree chiave di conformità, come BSA/AML; atti o pratiche sleali, ingannevoli o abusivi (UDAAP); mutui (in tutte le attività ipotecari); terzi e altri.

Trasparenza nell’esposizione residua al rischio e nell’efficacia dei controlli

Una delle pratiche tradizionali del settore per il coinvolgimento della seconda linea con l'azienda è stata quella di identificare i “processi ad alto rischio” e quindi identificare “tutti i rischi” e “tutti i controlli” che riguardano ciascuno di essi. Questo approccio, tuttavia, non riesce a creare una trasparenza reale e completa sulle esposizioni ai rischi rilevanti e spesso diventa un esercizio meramente meccanico.

In primo luogo, la mancanza di una definizione obiettiva e chiara di “processo ad alto rischio” lascia spesso questa decisione alla discrezione delle linee di business, il che può portare all’omissione di rischi critici dal punto di vista del rischio di conformità ma ritenuti meno significativi. da un punto di vista aziendale (ad esempio, un processo di riscossione di volumi ridotti può sembrare una parte insignificante del portafoglio aziendale complessivo ma può rappresentare un'area critica per la conformità normativa). Anche questo approccio soffre di incoerenze. Ad esempio, il processo di apertura di un conto può essere considerato ad alto rischio in alcune unità di vendita al dettaglio ma non in altre.

In secondo luogo, il tentativo di documentare praticamente “tutti i rischi” e “tutti i controlli” implica una notevole quantità di lavoro e di fatto limita la capacità della prima linea di approfondire questioni che contano veramente, producendo lunghi inventari qualitativi di rischi e controlli invece di identificare materiale esposizioni al rischio e analizzare i corrispondenti punti di interruzione dei processi e dei controlli e le cause profonde.

Il nuovo approccio incentrato sulle esposizioni al rischio residuo e sui punti critici di interruzione dei processi garantisce che nessun rischio materiale venga lasciato incustodito e fornisce la base per attività di supervisione e risoluzione realmente efficienti e basate sul rischio. Affronta queste sfide collegando direttamente i requisiti normativi ai processi e ai controlli (ovvero, attraverso la mappatura dei rischi per prodotti e processi), riversando i rischi materiali in prima linea in modo sistematico e realmente basato sul rischio e definendo obiettivi (e quando possibile quantitativi) indicatori chiave di rischio (KRI) nelle aree in cui il processo “si interrompe” e crea esposizione a un rischio particolare.

Pertanto, come illustrato, in genere esistono numerosi controlli associati a ciascun requisito normativo nell'ambito di un determinato processo aziendale. Testare tutti questi controlli consuma enormi quantità di tempo e risorse organizzative. Ogni controllo è documentato e il suo livello di efficacia valutato qualitativamente (anche se la definizione di “efficacia” è spesso ambigua e varia da persona a persona). Sfortunatamente, il punteggio complessivo sull'efficacia dei controlli risultante da questo esercizio è correlato solo vagamente con il risultato; non è raro vedere risultati critici dell'audit in aree in cui la maggior parte dei controlli è stata ritenuta efficace.

Al contrario, il nuovo approccio inizia definendo quali rischi si applicano a un dato processo aziendale e identificando esattamente dove si verificano nel processo (nota come “analisi dei punti di interruzione”). Informati dai punti di interruzione del processo identificati, è quindi possibile progettare KRI che misurano direttamente il residuo esposizione al rischio. Questo approccio porta a molti meno elementi da testare (nel nostro esempio, due KRI contro sette controlli) e a informazioni molto più solide su quali siano i problemi chiave. Inoltre, fornisce la base di fatti essenziale per guidare e accelerare il processo di riparazione e l'allocazione delle risorse.

Integrazione con la governance complessiva della gestione del rischio, gli affari normativi e il processo di gestione dei problemi

I rischi di conformità sono guidati dagli stessi fattori sottostanti che determinano altri rischi bancari, ma la loro posta in gioco è maggiore in caso di esiti avversi (ad esempio, azioni normative che possono comportare restrizioni delle attività commerciali e multe elevate). Pertanto, è giusto che un moderno quadro di conformità debba essere pienamente integrato con la visione del mondo in termini di rischio operativo della banca.

Integrare la gestione di questi rischi offre vantaggi tangibili. In primo luogo, garantisce che l'impresa abbia una visione veramente completa del proprio portafoglio di rischi e visibilità su eventuali problemi sistemici (ad esempio, tra prodotti e processi) e che nessun rischio materiale venga lasciato incustodito.

In secondo luogo, riduce l’onere per l’azienda (ad esempio, nessuna duplicazione di valutazioni del rischio e attività di rimedio) così come sulle funzioni di controllo (ad esempio, nessuna attività di reporting, formazione e comunicazione separate o duplicate). In terzo luogo, facilita una base di rischio derivante dall’ubicazione delle risorse aziendali e dalle azioni di gestione sulla risoluzione dei rischi e sugli investimenti in controlli trasversali.

Le seguenti azioni pratiche possono aiutare la banca a integrare saldamente la conformità nella governance complessiva della gestione del rischio, negli affari normativi e nel processo di gestione delle emissioni:

  • Sviluppare un unico inventario integrato dei rischi operativi e di conformità
  • Sviluppare e mantenere centralmente tassonomie standardizzate di rischio, processo, prodotto e controllo
  • Coordinare la valutazione del rischio, la correzione e le metodologie e i calendari di reporting (ad esempio, garantire una serie di valutazioni in aree trasversali di attualità come la gestione del rischio di terze parti; garantire la coerenza delle attività di monitoraggio e test della conformità con le attività di garanzia/controllo qualità nel rischio operativo)
  • Definire ruoli e responsabilità chiari tra le funzioni di rischio e di controllo a livello di rischio individuale per garantire che non vi siano lacune o sovrapposizioni, in particolare nelle “aree grigie” in cui convergono le discipline (ad esempio, gestione del rischio di terze parti, rischio privacy, antiriciclaggio e frode) )
  • Sviluppare e gestire congiuntamente programmi integrati di formazione e comunicazione
  • Stabilire processi di governance chiari (ad esempio, escalation) e strutture (ad esempio, comitati di rischio) con mandati che si estendono a tutte le funzioni di rischio e di supporto (ad esempio, tecnologia) e che garantiscano sufficiente responsabilità, proprietà e coinvolgimento di tutte le parti interessate, anche se i problemi interessano più funzioni
  • Coinvolgere costantemente e allineare tempestivamente le parti interessate senior della conformità nella determinazione dei piani d'azione, delle date finali previste e della definizione delle priorità delle questioni e delle questioni che richiedono attenzione
  • Stabilire un collegamento formale e processi di coordinamento con gli affari governativi

Per affrontare questa integrazione in modo efficace, gli istituti finanziari stanno anche valutando modifiche alla struttura organizzativa e al posizionamento della funzione di conformità. delinea i tre archetipi delle organizzazioni di compliance nelle banche. La migrazione della conformità verso l'organizzazione del rischio (ovvero, l'archetipo B) è una tendenza recente tra le banche globali, che in precedenza avevano il reporting di conformità verso l'ufficio legale (ovvero, l'archetipo A). Questa nuova struttura rafforza la visione della conformità come rischio simile al rischio operativo e come funzione di controllo piuttosto che di consulenza, ed è intesa a facilitare una visione integrata di tutti i tipi di rischio. Alcuni istituti bancari hanno elevato la conformità a una funzione a sé stante (ovvero, archetipo C), posizionandola simile all'audit interno, con una chiara separazione dal business, aumentandone così significativamente il profilo ma creando anche la necessità di un maggiore coordinamento con le funzioni operative. -funzione di rischio.

Misurare i risultati del progresso che contano

I tre principi sopra delineati implicano una trasformazione multiforme della funzione di compliance. La portata e la complessità di questa trasformazione creano un rischio reale di “perdere la foresta per gli alberi”. Abbiamo trovato utile applicare la seguente scheda di valutazione in dieci punti per misurare i progressi in questo viaggio:

1. Dimostrata attenzione al ruolo della conformità e alla sua statura all'interno dell'organizzazione

2. Visione integrata dei rischi di mercato con il rischio operativo

3. Tono chiaro da parte dei vertici e forte cultura del rischio, compresa la prova del coinvolgimento del senior management e della supervisione attiva del consiglio di amministrazione

4. Proprietà del rischio e sfida indipendente da parte della conformità (rispetto a “consulenza e consulenza”)

5. Modello operativo di compliance con una copertura orizzontale condivisa delle questioni chiave e una chiara definizione dei ruoli rispetto alla prima linea di difesa

There are several common archetypes for compliance organizations.
 

A.

Legal-led organization: Compliance as part of legal

B.

Risk-led organization: Compliance as part of risk

C.

Stand-alone compliance function
Key features

• Head of compliance reports to general counsel

• Historically most common reporting structure

• Compliance considered as a specialized unit within legal department

• Legal and compliance staff often cover issues/ cases jointly with an unclear separation of work

• Fosters independence from business divisions

• Facilitates synergies sharing of legal/ regulatory expertise

• Head of compliance reports to chief risk officer

• Compliance considered a risk similar to operational risk— generates an integrated view across all risk types

• Facilitates business alignment established in risk function (internal control unit and first level of control)

• Recent trend among global banks, which previously had compliance reporting to legal

• Compliance acts as control function, while legal advises business

• Head of compliance reports to CEO or COO (or directly to board of directors)

• Positioning of compliance similar to internal audit with clear separation from business

• Significantly raises compliance-function profile

• Ensures independence of compliance from other support functions (but requires coordination with risk function)

• Usually focuses on control activities

6. Inventario completo di tutte le leggi, norme e regolamenti in vigore per promuovere un programma di valutazione del rischio di conformità basato sul rischio

7. Utilizzo di parametri quantitativi e specifici indicatori di rischio qualitativi per misurare il rischio di conformità

8. Sistemi informativi e di gestione della conformità che forniscono una visione integrata dei rischi e riflettono una tassonomia comune dei rischi

9. Prova della prima linea di difesa che agisce e gestisce i problemi di conformità e controllo

10. Talento e capacità adeguati per affrontare le principali aree di rischio (ad esempio, BSA/AML, rischio fiduciario) e una conoscenza pratica dei processi di core business (ad esempio, gestione dei mutui).

Supponendo un punto per ciascuno di questi requisiti, una banca con un punteggio basso (ad esempio, da quattro a cinque punti) potrebbe richiedere una trasformazione significativa. Le banche possono massimizzare l’impatto della trasformazione misurando rigorosamente i progressi rispetto ai risultati desiderati. L’audit dovrebbe svolgere un ruolo importante in questo processo, fornendo una visione indipendente dello stato e dell’efficacia del programma rispetto agli obiettivi di trasformazione comunemente concordati.

La conformità normativa ha indubbiamente influenzato le banche in una serie di modi impegnativi, aumentando il costo del servizio e talvolta rendendo più difficile offrire ai clienti esperienze straordinarie. Tuttavia, con l’evolversi del contesto normativo, vediamo un’importante opportunità per la funzione di conformità di anticipare la curva implementando modifiche mirate al suo modello operativo e ai suoi processi, garantendo così una migliore qualità di supervisione e allo stesso tempo aumentando la sua efficienza. . Le banche che riusciranno ad attuare con successo questo cambiamento godranno di una fonte distintiva di vantaggio competitivo nel prossimo futuro, essendo in grado di fornire un servizio migliore, ridurre i costi strutturali e ridurre significativamente i rischi delle loro operazioni.

Pianificare una riunione