- Sviluppare e applicare standard per un efficace processo di mediazione del rischio (ad esempio, analisi delle cause profonde e monitoraggio delle prestazioni) per garantire che affronti le cause profonde dei problemi di conformità anziché limitarsi a “trattare i sintomi”
- Stabilire standard per programmi di formazione e incentivi adattati alle realtà di ogni tipo di lavoro o ambiente di lavoro
- Garantire che la prima linea applichi efficacemente i processi e gli strumenti sviluppati dalla conformità
- Approvazione di clienti, transazioni e prodotti in base a regole predefinite basate sul rischio
- Esecuzione di una valutazione regolare dello stato del programma di conformità generale
- Comprendere la cultura del rischio della banca, i suoi punti di forza e le potenziali carenze
La cultura del rischio occupa un posto speciale nel programma di compliance. In effetti, i fallimenti più gravi che hanno interessato gli istituti finanziari negli ultimi tempi hanno una causa culturale che porta ad accresciute aspettative normative. Gli elementi di una cultura del rischio “forte” sono relativamente chiari (anche se non sempre esplicitamente articolati) e includono la condivisione tempestiva delle informazioni, la rapida crescita dei rischi emergenti e la volontà di sfidare le pratiche; tuttavia, sono difficili da misurare oggettivamente. L’uso di strumenti come le indagini strutturate sulla cultura del rischio può consentire una comprensione più profonda delle sfumature della cultura del rischio all’interno dell’organizzazione e i loro risultati possono essere confrontati con istituzioni simili per rivelare lacune critiche. Di conseguenza, la cultura del rischio può essere attivamente modellata, monitorata e sostenuta da leader e organizzazioni impegnati.
L'efficace esecuzione di queste responsabilità ampliate richiede una comprensione molto più approfondita dei processi aziendali da parte della conformità. Esistono alcuni modi pratici per raggiungere questo obiettivo:
- Incorporare procedure dettagliate del processo nelle regolari valutazioni del rischio di conformità aziendale (ad esempio, workshop facilitati con la prima e la seconda linea per valutare le esposizioni ai rischi intrinseci e il modo in cui influenzano i processi aziendali)
- Implementare un processo formale di gestione dei cambiamenti aziendali che segnali eventuali cambiamenti operativi significativi (ad esempio volumi, prodotti, flussi di lavoro, ingombro e sistemi) alla seconda linea
- Sviluppare un solido kit di strumenti per misurare oggettivamente il rischio (ad esempio, misurazione quantitativa per rischi misurabili, indicatori di rischio per rischi più difficili da quantificare, inventario comune dei risultati rischiosi, analisi di scenari e valutazioni lungimiranti)
Infine, la progettazione del modello operativo della funzione di compliance sta diventando sempre più importante. Pertanto, è necessario passare da una copertura isolata e basata su unità aziendali a un modello in cui la copertura delle unità aziendali è combinata con competenze orizzontali in aree chiave di conformità, come BSA/AML; atti o pratiche sleali, ingannevoli o abusivi (UDAAP); mutui (in tutte le attività ipotecari); terzi e altri.
Trasparenza nell’esposizione residua al rischio e nell’efficacia dei controlli
Una delle pratiche tradizionali del settore per il coinvolgimento della seconda linea con l'azienda è stata quella di identificare i “processi ad alto rischio” e quindi identificare “tutti i rischi” e “tutti i controlli” che riguardano ciascuno di essi. Questo approccio, tuttavia, non riesce a creare una trasparenza reale e completa sulle esposizioni ai rischi rilevanti e spesso diventa un esercizio meramente meccanico.
In primo luogo, la mancanza di una definizione obiettiva e chiara di “processo ad alto rischio” lascia spesso questa decisione alla discrezione delle linee di business, il che può portare all’omissione di rischi critici dal punto di vista del rischio di conformità ma ritenuti meno significativi. da un punto di vista aziendale (ad esempio, un processo di riscossione di volumi ridotti può sembrare una parte insignificante del portafoglio aziendale complessivo ma può rappresentare un'area critica per la conformità normativa). Anche questo approccio soffre di incoerenze. Ad esempio, il processo di apertura di un conto può essere considerato ad alto rischio in alcune unità di vendita al dettaglio ma non in altre.
In secondo luogo, il tentativo di documentare praticamente “tutti i rischi” e “tutti i controlli” implica una notevole quantità di lavoro e di fatto limita la capacità della prima linea di approfondire questioni che contano veramente, producendo lunghi inventari qualitativi di rischi e controlli invece di identificare materiale esposizioni al rischio e analizzare i corrispondenti punti di interruzione dei processi e dei controlli e le cause profonde.
Il nuovo approccio incentrato sulle esposizioni al rischio residuo e sui punti critici di interruzione dei processi garantisce che nessun rischio materiale venga lasciato incustodito e fornisce la base per attività di supervisione e risoluzione realmente efficienti e basate sul rischio. Affronta queste sfide collegando direttamente i requisiti normativi ai processi e ai controlli (ovvero, attraverso la mappatura dei rischi per prodotti e processi), riversando i rischi materiali in prima linea in modo sistematico e realmente basato sul rischio e definendo obiettivi (e quando possibile quantitativi) indicatori chiave di rischio (KRI) nelle aree in cui il processo “si interrompe” e crea esposizione a un rischio particolare.
Pertanto, come illustrato, in genere esistono numerosi controlli associati a ciascun requisito normativo nell'ambito di un determinato processo aziendale. Testare tutti questi controlli consuma enormi quantità di tempo e risorse organizzative. Ogni controllo è documentato e il suo livello di efficacia valutato qualitativamente (anche se la definizione di “efficacia” è spesso ambigua e varia da persona a persona). Sfortunatamente, il punteggio complessivo sull'efficacia dei controlli risultante da questo esercizio è correlato solo vagamente con il risultato; non è raro vedere risultati critici dell'audit in aree in cui la maggior parte dei controlli è stata ritenuta efficace.
Al contrario, il nuovo approccio inizia definendo quali rischi si applicano a un dato processo aziendale e identificando esattamente dove si verificano nel processo (nota come “analisi dei punti di interruzione”). Informati dai punti di interruzione del processo identificati, è quindi possibile progettare KRI che misurano direttamente il residuo esposizione al rischio. Questo approccio porta a molti meno elementi da testare (nel nostro esempio, due KRI contro sette controlli) e a informazioni molto più solide su quali siano i problemi chiave. Inoltre, fornisce la base di fatti essenziale per guidare e accelerare il processo di riparazione e l'allocazione delle risorse.
Integrazione con la governance complessiva della gestione del rischio, gli affari normativi e il processo di gestione dei problemi
I rischi di conformità sono guidati dagli stessi fattori sottostanti che determinano altri rischi bancari, ma la loro posta in gioco è maggiore in caso di esiti avversi (ad esempio, azioni normative che possono comportare restrizioni delle attività commerciali e multe elevate). Pertanto, è giusto che un moderno quadro di conformità debba essere pienamente integrato con la visione del mondo in termini di rischio operativo della banca.
Integrare la gestione di questi rischi offre vantaggi tangibili. In primo luogo, garantisce che l'impresa abbia una visione veramente completa del proprio portafoglio di rischi e visibilità su eventuali problemi sistemici (ad esempio, tra prodotti e processi) e che nessun rischio materiale venga lasciato incustodito.