Fabio Ghirardi Focus - Milano 21 ottobre 2014 Soluzioni informatiche ed applicative a supporto della Funzione Antiriciclaggio Fabio Ghirardi Direttore Area Consulenza Banche ed Intermediari Finanziari Settore Informatico
Indice intervento Supporti informatici per: Individuazioni Operazioni Sospette, Gestione comportamenti anomali e segnalazioni operazioni sospette, Calcolo profilo di rischio statico e dinamico della clientela, Adeguata Verifica, Diagnostico AUI Rating di Gruppo Quadratura Sezionali\Archivio Unico Informatico
Unione Fiduciaria Unione Fiduciaria fin dal lontano 1993 ha investito molte risorse economiche in termini di sviluppo e progettazione di sistemi informatici a supporto degli intermediari finanziari per agevolarli nelle attività di gestione e controllo previsti dalla normativa italiana in tema di riciclaggio di denaro.
Unione Fiduciaria In particolare negli ultimi 10 anni è stata sviluppata una piattaforma integrata denominata Cosmos per gestire le problematiche che sono oggetto del presente intervento: individuazione e gestione delle operazioni sospette profilatura della clientela per le attività di Adeguata Verifica monitoraggio nel continuo dei comportamenti anomali diagnostico AUI la gestione del Rating Antiriciclaggio di Gruppo strumenti automatici di quadratura tra gli archivi sezionali e l’Archivio Unico Informatico strumenti informatici per organizzare in autonomia controlli, verifiche e quadrature archiviare elettronicamente le verifiche effettuate dal Responsabile Antiriciclaggio
Individuazioni Operazioni Sospette L’obbligo di segnalazione delle operazioni sospette (art. 41 del D.Lgs. 231/2007) prevede che gli intermediari debbano inviare a Banca d’Italia ex UIF una segnalazione di operazione sospetta quando sanno, sospettano o hanno motivi ragionevoli per sospettare che siano in corso o che siano state compiute o tentate operazioni di riciclaggio o di finanziamento al terrorismo. Nel provvedimento di Banca d’Italia del 24 agosto 2010 l’organismo di vigilanza ha meglio specificato le modalità ed i comportamenti preventivi di controllo che devono essere tenuti sull’argomento arricchendo e meglio specificando le argomentazioni indicate nel vecchio decalogo
Aspettative organismi di controllo Gli organismi di vigilanza si aspettano che il Responsabile Antiriciclaggio abbia una conoscenza approfondita della clientela dell’Intermediario e riceva output dal sistema dei controlli Non viene più “scusata” l’incapacità di non saper gestire la grande quantità di dati anagrafici e relativi movimenti finanziari registrati negli archivi dell’intermediario E’ indispensabile organizzare delle regole e poter dimostrare che si è fatto il massimo per contenere il rischio di non conformità rispetto alle normative antiriciclaggio
Obbiettivi e finalità delle soluzioni informatiche Informatizzare il sistema dei controlli nelle verifiche periodiche su possibili abusi di riciclaggio Ingegnerizzare i controlli Processare l’intera storia finanziaria del cliente Archiviare i risultati di audit Conoscere la clientela analizzando le informazioni presenti negli archivi dell’Intermediario Costruire indici più sofisticati di valutazione della clientela (Rating) Limitare il rischio di non conformità Evidenziare situazioni di operazioni sospette effettuate dalla clientela
Obbiettivi e finalità della soluzione di Unione Fiduciaria Verificare massivamente la movimentazione del cliente per evidenziare possibili situazioni sospette in tema di riciclaggio di denaro Realizzare un rating operativo (dinamico) per tutti i clienti le cui movimentazioni sono state oggetto dell’analisi Fornire, a chi deve effettuare i controlli, uno strumento personalizzabile, scalabile, efficace che consenta di analizzare grandi quantità di dati e di disporre di algoritmi codificati di controllo
Processo di segnalazione delle SOS Gli step del processo tendenzialmente sono i seguenti: Segnalazione di operazione sospetta da parte dei dipendenti della società Valutazione da parte del responsabile d’area della segnalazione proveniente dal dipendente Presa in carico da parte dell’ufficio antiriciclaggio della pratica e gestione degli opportuni controlli Valutazione del delegato per le S.O.S che decide se procedere con la segnalazione verso gli organismi di vigilanza In Cosmos Il processo di segnalazione operazione sospetta è stato strutturato in diverse fasi ognuna con responsabilità ben definite, schede progettate ad hoc e standardizzato da un iter processuale top-down in modo da garantire l’integrità delle fasi. L’applicativo ha il pregio di poter personalizzare con pochi passaggi l’iter del processo e le informazioni richieste in ogni fase dello stesso.
Adeguata verifica della clientela Provvedimento recante disposizioni in materia di adeguata verifica della clientela, ai sensi dell’art. 7, comma 2, del Decreto Legislativo 21 novembre 2007, n.231.
Banca d’Italia Destinatari Le presenti istruzioni sono rivolte a: a) banche; b) istituti di moneta elettronica; c) istituti di pagamento; d) società di intermediazione mobiliare (SIM); e) società di gestione del risparmio (SGR); f) società di investimento a capitale variabile (SICAV); g) succursali insediate in Italia dei soggetti indicati alle lettere precedenti aventi sede legale in uno Stato estero; h) agenti di cambio; i) intermediari finanziari iscritti nell'albo previsto dall'articolo 106 del TUB; j) società fiduciarie di cui all’art. 199 del TUF, comprese quelle di cui alla legge 23 novembre 1939, n. 1966 non iscritte nell’apposita sezione dell’albo previsto dall’art. 106 del TUB; k) Poste italiane S.p.A.; l) Cassa depositi e prestiti S.p.A.; m) soggetti disciplinati dagli articoli 111 e 112 del TUB; n) mediatori creditizi iscritti nell'elenco previsto dall'articolo 128-sexies del TUB; o) agenti in attività finanziaria iscritti nell'elenco previsto dall'articolo 128-quater, comma 2, del TUB e gli agenti indicati nell’articolo 128-quater, comma 7, del medesimo testo unico.
Parte Prima – Sezione III Sezione III. La profilatura della clientela …I destinatari provvedono a definire il profilo di rischio di riciclaggio e di finanziamento del terrorismo attribuibile a ogni cliente, sulla base delle informazioni acquisite e delle analisi effettuate, in applicazione delle precedenti Sezioni I e II e…ciascun cliente è incluso in una delle classi di rischio predefinite dai destinatari…A ciascuna classe di rischio è associato un coerente livello di profondità ed estensione degli adempimenti agli obblighi previsti dalla normativa di contrasto del riciclaggio e del finanziamento del terrorismo (adeguata verifica e valutazione delle operazioni sospette)…Nel caso dei rapporti continuativi, i destinatari definiscono la frequenza ordinaria di aggiornamento della profilatura del cliente, sulla base del relativo livello di rischio, e i casi in cui occorre verificare la congruità della classe di rischio assegnata (ad esempio nel caso di cambiamenti rilevanti dell’operatività del cliente). Tale verifica deve essere effettuata quando constino ai destinatari eventi o circostanze che sono suscettibili di modificare il profilo di rischio (ad esempio, nel caso di assunzione della qualifica di PEP)…
Parte Prima – Sezione III Sezione III. La profilatura della clientela …La segmentazione della clientela si avvale di procedure strutturate di raccolta e di elaborazione dei dati e delle informazioni. La raccolta delle notizie può avvenire attraverso percorsi guidati o questionari. L’elaborazione del profilo di rischio può essere effettuata anche avvalendosi di algoritmi predefiniti e procedure informatiche, in grado di assegnare in automatico la classe di rischio. In tutti i casi di modalità automatiche, gli operatori devono applicare classi di rischio più elevate ove le ritengano appropriate. Se la modifica dell’operatore abbassa il livello di rischio o dei controlli, essa va motivata per iscritto. Modalità di elaborazione in automatico e in tempo reale possono risultare particolarmente adatte nel caso di singole operazioni non riconducibili a un rapporto continuativo (operazione occasionale), di importo tale per cui la normativa richiede l’adeguata verifica. Nei gruppi in cui la profilatura del cliente non è accentrata, essa viene effettuata dalle singole società anche sulla base delle informazioni utilizzate dalle altre società per l’assegnazione della classe di rischio al cliente stesso.…
Adeguata Verifica Quali strategie di controllo dovranno essere raggiunte? Poter configurare un sistema di caricamento e di alimentazione delle schede di adeguata verifica della clientela Organizzare appositi indicatori di rischio relativi a tutte le categorie di informazioni normalmente contenute nelle schede Ogni intermediario dovrà poter personalizzare il contenuto delle schede di adeguata verifica in funzione delle policy aziendali predisposte per gestire il problema Possedere un motore di calcolo adeguato per calcolare un rating statico dei clienti basato sui dati contenuti nelle schede Le informazioni contenute nelle schede dovranno essere complementari alle analisi effettuate sull’operatività del cliente nel continuo, al fine di perfezionare e completare il calcolo di un rating operativo complessivo per ciascun cliente
Le soluzioni informatiche Cosa deve consentire un software di controllo? ai Responsabili Antiriciclaggio di ricevere informazioni di sintesi e dettagliate sulla clientela dell’Intermediario di migliorare e rendere oggettivo l’evidenza di situazioni di rischio non gestibili manualmente anche con un numero esiguo di clienti, di evidenziare le operazioni e di clienti potenzialmente sospetti utilizzando un set di indicatori costruiti partendo dalla normativa e dalle indicazioni fornite dalle associazioni di categoria di mutuare i riferimenti normativi con le policy interne dell’intermediario arrivando a specializzare parte degli indicatori in funzione delle caratteristiche della clientela di calcolare un rating della clientela di interagire con servizi di segnalazione su persone fisiche
Quali obbiettivi? Quali risultati si devono raggiungere? I sistemi valutativi e i processi decisionali adottati devono assicurare omogeneità di comportamento all’interno dell’intera struttura aziendale Deve essere garantita la tracciabilità delle verifiche svolte e delle valutazioni effettuate, anche al fine di dimostrare alle autorità competenti che le specifiche misure assunte sono adeguate rispetto ai rischi rilevati in concreto Il risultato delle analisi si deve concentrare quindi in un punteggio, calcolato in base a parametri e indicatori contenuti nel software; il motore di calcolo è in grado di rappresentare la grande quantità di dati raccolti in indicatori sintetici di valutazione fino a generare un rating per tutti i clienti analizzati. Il calcolo di un rating consente, con immediatezza, di visualizzare le situazioni di rischio
Registrare le verifiche In Cosmos è possibile registrare le verifiche fatte: La procedura di verifica delle analisi effettuate potrà essere supportata da un Registro elettronico dell’operatività svolta Il Registro delle verifiche deve permettere il salvataggio di tutte le informazioni relative alle analisi effettuate Deve consentire la registrazione, all’interno del sistema, di ogni ulteriore eventuale indagine effettuata sul cliente e deve consentire l’archiviazione degli eventuali documenti a supporto della verifica Il registro consentirà, in ogni momento, di reperite tutte le informazioni riguardanti le verifiche svolte e la relativa documentazione associata L’integrazione del sistema di registrazione con il motore di calcolo permetterà di configurare degli indicatori di rischio legati ai nominativi dei clienti archiviati nel Registro
Il Diagnostico AUI La corretta tenuta dell’AUI è, pertanto, un presupposto essenziale per assicurare l’affidabilità dei dati elaborati in forma aggregata e per le successive analisi volte a evidenziare fenomeni di riciclaggio nell’ambito di specifiche aree territoriali o business units.
Il Diagnostico AUI Il diagnostico di Cosmos è stato sviluppato secondo un approccio Data Quality coerente con gli Standard emanati dalla Banca d’Italia ed è supportato da una procedura sviluppata dagli specialisti di Cosmos sulla piattaforma di Comunica. Ciclo di vita dei dati Metriche Obbiettivi di controllo I dati rispettano i domini definiti e adeguatamente dettagliati? Estrazione da AUI Accuratezza Analisi Reportistica Completezza Ci sono dati mancanti? Segnalazioni Ci sono dati formattati in modo non coerente con gli standard normativi di riferimento? Archiviazione Compliance Ci sono dati che forniscono informazioni conflittuali tra loro? Consistenza Tempestività I dati sono processati in maniera tempestiva? Integrità I dati sono completi e affidabili? Univocità Ci sono più chiavi univoche ripetute più volte?
Rating di gruppo Le recenti disposizioni prevedendo che all’interno dei gruppi bancari la valutazione del rating delle singole società segua un iter valutativo coerente. Non è più ammesso che società del medesimo gruppo abbiano valutazioni (rating) differenti sullo stesso cliente.
Rating di gruppo Per raggiungere un’integrazione dei rating di gruppo provenienti dalle varie società è necessario che la procedura di controllo sia in grado di confrontare classificazioni differenti rendendole omogenee. L’obbiettivo è fornire al responsabile antiriciclaggio una visione complessiva del cliente.
Coerenza dati AUI Le necessità più recenti provenienti dalla clientela di Cosmos riguardano la configurazione di algoritmi informatici per la quadratura dei dati presenti negli archivi delle procedure sezionali e l informazioni presenti nell’archivio unico informatico (rapporti e/o movimenti).
Un ambiente integrato I vantaggi di un sistema di controllo integrato come Cosmos consente di: Utilizzare un unico sistema per valutare i rischi antiriciclaggio, convogliando tutte le informazioni in un solo applicativo Avere a disposizione una procedura completa per la gestione dell’iter complessivo di una pratica dall’Adeguata Verifica alla segnalazione delle operazioni sospette Presentarsi agli organi di vigilanza con un prodotto strutturato e completo a supporto delle policy aziendali e delle relative procedure Avere la possibilità di adeguare in ogni momento il sistema di controllo prendendo spunto dalle policy interne dell’Intermediario
Grazie Cosmos