ICT4law WP6. Servizi e tecnologia per la compliance. Maggio 2010
ICT4law Wp6 La compliance Compiti della funzione di compliance Esempio di come oggi lavora un ufficio di compliance Aree di intervento di ICT4law wp6 Indice intervento
ICT4LAW – I Partner (1) Università di Torino: –Dipartimento di Scienze Giuridiche (Prof. Gianmaria Ajani) –Dipartimento di Informatica (Prof. Guido Boella) Università del Piemonte Orientale: –Dipartimento di Studi per l’Impresa ed il Territorio (Dott. Piercarlo Rossi) –Dipartimento di Informatica (Prof.ssa Laura Giordano)
ICT4LAW – I Partner (2) CNR: –CERIS CNR di Torino (Dr. Giuseppe Calabrese) Imprese –Augeos, servizi e soluzioni IT per la finanza –SSB Progetti, software house
ICT4LAW – I Partner (3) Altre istituzioni coinvolte (fuori Piemonte): –ISTC CNR Laboratorio di ontologia applicata di Trento (LOA – Ing. Nicola Guarino) –Istituto di Teoria e Tecniche dell’Informazione Giuridica (ITTIG CNR) di Firenze (Dott.sa Daniela Tiscornia)
gli organi di vigilanza hanno stabilito una serie di principi che obbligano a gestire il rischio di inosservanza a leggi o norme con apposite funzioni dedicate al presidio e al controllo della conformità. In particolare, si pone l’accento sulla nuova figura del Compliance Risk Manager. Compliance Con la collaborazione della funzione di conformità, almeno una volta all’anno,gli organi delegati, o nel modello dualistico il consiglio di gestione, e il direttore generale secondo le rispettive competenze hanno il compito di identificare e valutare i principali rischi di non conformità a cui la banca è esposta e programmare i relativi interventi di gestione.
Che cosa è il Rischio Una possibile definizione di Rischio è: “l’eventualità di subire un danno connessa a circostanze più o meno prevedibili.” (Enciclopedia Treccani) In questa prima definizione si incontrano dei concetti che ritroveremo in forma più rigorosa: Il rischio è in qualche modo connesso alla “probabilità” di un evento dannoso Il rischio è proporzionale alla “gravità” del possibile danno.
Rischio di conformità Banca d’Italia definisce il rischio di conformità come: Il rischio di non conformità può essere definito come il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). Il rischio di conformità è un caso particolare di rischio operativo.
I compiti del Compliance manager Alla funzione di compliance sono assegnati tipicamente compiti di: Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
I compiti del Compliance manager Alla funzione di compliance sono assegnati tipicamente compiti di: Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
Una prima attività consiste nella gestione dell’inventario normativo: pertanto si possono evidenziare le seguenti funzionalità: inserire in un database i testi delle norme in maniera strutturata per evidenziare adempimenti e sanzioni; creare delle classificazioni personalizzate con relazioni esplicite o tag; indicare le relazioni con altre norme; ricercare una norma secondo qualche criterio ed in modo full text; Esempi di esigenze tecniche informatiche del primo compito Legal knowledge (modellazione della normativa): viene effettuata tramite un “legal document management system” messo a disposizione dalla Università di Torino (Boella)
I compiti del Compliance manager Alla funzione di compliance sono assegnati tipicamente compiti di: Individuazione della normativa: si esplicita nella valutazione della normativa attinente (in particolare per quella di “nuova emissione”) e nell’analisi di impatto Individuazione dei rischi: si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard Valutazione e misurazione: si esplicita nella definizione e applicazione di metodologie volte a misurare i rischi Monitoraggio: rappresenta il controllo sull’efficacia delle regole e delle procedure interne a presidio dei rischi Reporting: inteso non solo come reporting agli Organi Apicali con riferimento al Compliance Program ma anche come reporting alle funzioni coinvolte nella gestione dei rischi Formazione e Consulenza: si esplicita nell’attivazione di iniziative formative dedicate, nella condivisione di programmi formativi, nella consulenza alle funzioni operative in materia.
L’idea chiave per questa parte della ricerca consiste nel cercare di dare degli strumenti di supporto al Compliance Manager per la fase di individuazione dei rischi normativi utilizzando la semantica e le ontologie. Per far questo occorre analizzare meglio il processo e la metodologia con cui vengono evidenziati i rischi normativi Individuazione dei rischi di compliance
Processo della compliance
Esempio di Report di assessment
Esempio di alcune fasi del processo
Esempio di parere compliance
Individuazione delle leggi rilevanti Attinenza per area Pareri normativi Individuazione degli adempimenti Individuazione delle aree aziendali che hanno impatto Individuazione dei responsabili dei rischi Individuazione dei processi e delle attività delle aree Collegamento della norma con il processo Valutazione del rischio Individuazione dei controlli da effettuare Azioni di mitigazione Come avviene oggi l’individuazione dei rischi
Processo 1Processo 2...Processo N Comma 1x Comma 2x....x Comma Nx Matrice impatto norma processo
Esempio di mappature rischi - processi
Vicinanza ontologica-semantica L’attività di ricerca si concentra su trovare una vicinanza ontologica-semantica tra l’articolo di una legge e una descrizione di una attività di un ufficio con diversi livelli di profondità –1 livello: vicinanza semantica (uso di tecniche di vicinanza tra parole chiave e concetti espressi nella legge e in una descrizione di un processo) –2 livello: tecniche per individuazione di vicinanza tra entità ontologicamente rilevanti di una legge (ruoli, diritti, doveri, vincoli, validità etc...) e quelle rilevanti di processo( responsabili, azioni da fare, vincoli etc...) –3 livello: model checking: test della descrizione dei processi sulla base di un set di leggi
LEGAL KNOWLEDGE MANAGEMENT SYSTEM LEGAL DOCUMENT MANAGEMENT SYSTEM BUSINESS PROCESS MANAGEMENT SYSTEM BUSINESS PROCESS EDITOR TOOLS FOR INTEGRATING KB TO BPM SIMULATION TERM SEARCH ONTOLOGY MAPPING MODEL CHECKING Schema riassuntivo
LEGAL KNOWLEDGE MANAGEMENT SYSTEM LEGAL DOCUMENT MANAGEMENT SYSTEM XML LEGGI ART. RILEVANTI TERMINI SYLLABUS ONTOLOGIA RUOLI OBBLIGHI PERMESSI
BUSINESS PROCESS KNOWLEDGE SYSTEM BPM SYSTEM Descrizione processi in XML Attività. rilevanti TERMINI SYLLABUS ONTOLOGIA RUOLI Attività vincoli
LEGAL KNOWLEDGE MANAGEMENT SYSTEM LEGAL DOCUMENT MANAGEMENT SYSTEM XML LEGGI ART. RILEVANT I TERMINI SYLLABUS ONTOLOGIA RUOLI OBBLIGHI PERMESSI Nuova legge Il promotore di cui all’ art. 4 di… deve XML Parser Riferimenti Estrazione termini Analisi concetti Analisi norme
26 La sperimentazione oggi si è concentrata su un caso di test specifico riguardante una parte della legge sulla MIFID DIRETTIVA “MiFID” Markets in Financial Instruments Directive Analisi del processo “Offerta fuori sede di servizi di investimento” Riferimenti Normativi afferenti Analisi semnatica e ontologica della direttiva (Es art. 30)
27 FaseOperazioneNorme Collegate 1.1IDENTIFICAZIONE CLIENTE TRAMITE OFFERTA FUORI SEDE Il promotore accerta l’identità del cliente attraverso un documento di riconoscimento valido (ad esempio: carta d'identità, patente, passaporto, ecc.) ed il relativo codice fiscale. Art. 30 – TUFArt. 30 – TUF / Art TUFArt TUF Art. 78 Reg. Consob Art. 108 – Reg. Consob CONSEGNA DOCUMENTAZIONE INFORMATIVA AL CLIENTE Al momento del primo contatto, il promotore provvede a consegnare all’investitore: -la copia di una dichiarazione redatta dal soggetto abilitato da cui risultino gli elementi identificativi di tale soggetto, gli estremi di iscrizione all'albo e i dati anagrafici del promotore; -la copia dell'informativa sulle principali regole di comportamento del promotore finanziario nei confronti degli investitori. Art.108 – Reg. Consob Allegato n.4 – Reg. Consob Art. 29 – Dir. 2006/73/CE Art. 30 – Dir. 2006/73/CE Art. 34 – Reg. Consob ACQUISIZIONE INFORMAZIONI TRAMITE COLLOQUIO Il promotore provvede ad acquisire dal cliente tutte le informazioni necessarie per valutare la sua situazione finanziaria, i suoi obiettivi d’investimento e la sua conoscenza ed esperienza. Art. 39 – Reg. Consob Art. 40 – Reg. Consob Art. 35 – Dir. 2006/73/CE Art. 36 – Dir. 2006/73/CE 1.4VALUTAZIONE PROFILO ADEGUATEZZA/ APPROPRIATEZZA Il Promotore, ricevute le informazioni dal cliente necessarie per la profilatura dello stesso, provvede a compilare l'apposito modulo e a comunicargli il proprio profilo di adeguatezza/ appropriatezza (prudente/equilibrato/dinamico/aggressivo) Art. 41 – Reg. Consob Art. 42 – Reg. Consob Allegato n.4 – Reg. Consob Art. 37 – Dir. 2006/73/CE 1.5SOTTOSCRIZIONE E CONSEGNA QUESTIONARIO MIFID COMPILATO Il Promotore provvede a far sottoscrivere e a far firmare al cliente in quadrupla copia il questionario Mifid compilato, rilasciandone una copia allo stesso cliente. questionario Mifid Tale documento deve essere convalidato dal promotore mediante l'apposizione del timbro e della firma dello stesso. Allegato n.4 – Reg. Consob CONSERVAZIONE DOCUMENTAZIONE CLIENTE Il Promotore archivia la documentazione inerente il cliente in appositi fascicoli intestati ai singoli clienti. Art Dir. 2006/73/CE Art.109 – Reg. Consob APERTURA RAPPORTO PER OFFERTA FUORI SEDE
28 –Check e verifica Ex-post: Verifico se tutti gli obblighi normativi sono considerati nei documenti che vengono prodotti al cliente di una banca. –Processo formazione di una legge: sia nell’iter sia nei contenuti di una legge fornire strumenti per la vicinanza semantica con altre leggi di altri corpus normativi. –Ricerca semiautomatica: termini syllabus associati a norme. Ricerca full text termini mi collega anche a norme. –Ricerca ontologica: se trovo il collegamento ad un concetto, questo mi suggerisce ruoli tematici. Altri possibili utilizzi
29 Augeos l’arte di creare soluzioni innovative