di Tommaso TOVAGLIERI
Sempre più spesso si parla di innovazione e tecnologia anche in associazione a tematiche di Conformità e Risk Management. Temi come Robo Advisor o Intelligenza Artificiale applicati a tematiche di gestione del rischio sono ormai da tempo al centro del dibattito e nelle agende dei principali Chief Information Officer.
Ci si confronta spesso se e in quanta parte automatizzare dei controlli oppure sul come poter re-ingegnerizzare un processo in modo tale da renderlo più snello e più efficace.
Tutti questi piani di sviluppo passano poi inevitabilmente da considerazioni di tipo economico. Quello che spesso succede è che i più faraonici e dettagliati piani vengano ridimensionati per esigenze di budget, rischiando di perdere le peculiarità di innovazione che avevano inizialmente a favore di logiche finanziarie.
I rischi sono molteplici: risorse spese, persone poco formate non in grado di gestire il cambiamento, risultati prefissati non raggiunti.
Se da un lato con il Fintech nuovi operatori avranno accesso al mercato, diffondendo soluzioni più efficienti, dall’altro aumenteranno la concorrenza e ridurranno i costi per imprese e investitori. Tale efficienza operativa e riduzione dei costi non può però essere senza limiti. Non bisogna incorrere nell’errore di vedere nell’automazione la soluzione di tutti i problemi: una visione “frettolosa” potrebbe avere l’effetto contrario, e cioè quello di non assicurare un adeguato presidio e mitigazione del rischio.
Per questi motivi, si può ritenere che l’approccio vincente davanti a tematiche di innovazione sia quello di introduzioni graduali, partendo inevitabilmente dai processi e dalla formazione del personale.
Se al concetto di innovazione uniamo le tematiche di Compliance, si può parlare di Compliance 2.0. Con questa formula, mutuata dal mondo della rete, si intende oltre al rispetto delle regole, della conformità e dei comportamenti, della difesa della reputazione, anche caratteristiche di “complessità relazionale” (sia interna, rispetto alle altre componenti del Sistema dei Controlli, sia esterna, rispetto ai numerosi stakeholder). Per dar seguito a questa visione occorre utilizzare sistemi di supporto, di raccolta e di gestione delle informazioni, che facciano proprie ed enfatizzino caratteristiche di flessibilità, integrazione e inter-operabilità.
In questa ottica, appare utile descrivere un case study che ha visto lo sviluppo e l’automazione in ambito di controlli di conformità.
Le attività di controllo svolte dalla Funzione Compliance si sostanziano in:
- Controlli andamentali, basati sull’elaborazione di indicatori di sintesi e di liste di controllo sui fenomeni a maggior rischio;
- Controlli sistematici a distanza, effettuati mediante l’acquisizione e l’elaborazione di dati e informazioni rivenienti dai controlli di primo livello gerarchico;
- Verifiche campionarie, specificatamente predisposte sugli ambiti normativi che richiedono maggiori competenze specialistiche, ovvero dove non sono presenti controlli di primo livello rendicontabili.
Si tratta di differenti tipologie di controlli permanenti che consentono di raggiungere obiettivi di:
- Efficacia: posizionando degli elementi di controllo su tutte le principali aree di rischio;
- Efficienza: limitando le attività di controllo diretto effettuato da altre aree di business.
Con riferimento alla seconda tipologia di controlli, quelli “sistematici a distanza”, la situazione iniziale prevedeva la somministrazione dei controlli agli owner di business di primo livello, il loro svolgimento e la successiva comunicazione dell’esito via e-mail alla funzione Compliance, attraverso la compilazione di fogli excel, con evidenti rischi di tracciabilità o lacune di segregazione dei compiti.
Con lo sviluppo del tool si sono invece potute centralizzare tutte le informazioni necessarie, sistematizzare l’invio con alert automatici e monitorare maggiormente i flussi. Si è inoltre introdotta la figura del validatore 2.1 (responsabile di verificare che il controllo svolto dal primo livello sia coerente con l’impostazione richiesta e veritiero). Tutto questo ha consentito di raggiungere i seguenti obiettivi:
- Velocizzazione nella comunicazione dei risultati;
- Tracciabilità delle valutazioni effettuate;
- Storicizzazione dei risultati;
- Monitoraggio degli action plan.
Si è infine pensato di introdurre una sezione “community”, per dare la possibilità di formulare richieste o approfondire determinati argomenti o modalità di svolgimento del controllo. Questa sezione ha altresì l’obiettivo di diffondere una cultura del controllo, attraverso la spiegazione e la descrizione del fine ultimo dei controlli da effettuare. Tutto questo per cercare di motivare e illustrare il valore aggiunto che un controllo ben fatto può portare e allontanare sempre più l’idea che l’attività sia vista come un checking the box.
Non da meno, l’efficientamento tout court nella gestione dei controlli ha consentito alla funzione Compliance di poter svolgere verifiche campionarie più approfondite sugli esiti attraverso l’estensione del campione o tramite nuovi indicatori.
In conclusione, i concetti di Innovazione e Compliance, possono e devono essere sempre più connessi ed integrati. La capacità di analizzare in poco tempo una moltitudine di dati e di tracciare le scelte effettuate rendono di fatto la tecnologia imprescindibile.
Le avvertenze in ogni caso non mancano, un approccio graduale che prevede in prima battuta l’analisi dei processi e delle esigenze risulta nella maggior parte dei casi vincente.
Lo sviluppo e l’incremento del livello di pervasività della Compliance nei confronti del business, degli organi di vertice e anche verso l’IT sono priorità per tutti i Compliance Officer, in una logica di Compliance by Design che richiede di comprendere fin da subito il momento e le modalità opportune con le quali intervenire nei processi e agire secondo un approccio data driven nell’identificazione e valutazione dei rischi.
Intervento di Tommaso TOVAGLIERI, Responsabile Ufficio Compliance e Controlli Permanenti Crédit Agricole Vita S.p.A.
