Come è noto, le autorità di vigilanza ed i regulator internazionali si stanno sempre più indirizzando verso un approccio principle-based rispetto alla vecchia impostazione basate su indicazioni precise, puntigliose (e dunque spesso poco flessibili). L’approccio per principi, anche come preannunciato dalla Banca d’Italia ad esempio per quanto riguarda gli obblighi di compliance, presuppone che sia condotta un’analisi dei rischi dei processi aziendali compresi nell’ambito della regolamentazione in esame. La britannica Financial Services Authority FSA ha pubblicato, nell’agosto 2006, il proprio risk assessment framework, denominato Arrow (pdf, 308 K), che presenteremo in questa serie di articoli. In questa prima parte daremo una overview del framework; nella seconda parte vedremo come applicare ARROW nella attività di supervisione e di controllo; nella terza parte vedremo come condurre il processo di risk assessment e comunicare correttamente i risultati.

Indice del documento

• 1 Introduction
• 2 Overview of the ARROW framework
• 3 The ARROW risk model
• 4 How we use ARROW to assess the risk in firms
• Appendix 1 Sample letter templates and appendices for Full ARROW and ARROW Light risk assessments
• Appendix 2 Example of a Risk Mitigation Programme (RMP)
• Appendix 3 Ideas on further disclosure of information
• Appendix 4 Typical individuals interviewed and risk groups discussed in risk assessment visits
• Annex 1 Risk groups and risk elements
• Annex 2 Current impact metrics
• Annex 3 Risks to FSMA Objectives (RTOs)
• Annex 4 ARROW service standards
• Annex 5 Glossary of terms

Cos’è ARROW?

ARROW è l’acronimo di Advanced, Risk-Responsive Operating FrameWork ed è un framework per l’assessment dei rischi aziendali. ARROW ha tre componenti:

1. ARROW Firms: da usare quando si analizzano i rischi in una singola azienda (nel seguito questa attività verrà indicata come ‘vertical’ supervision);
2. ARROW Themes: da usare quando si analizzano i rischi trasversali a più aziende o rischi comuni a tutto il mercato (nel seguito questa attività sarà indicata come ‘horizontal’ work);
3. Internal Risk Management: da usare quando si valutano i rischi operativi che potrebbero avere un impatto per FSA.

La storia

Nel gennaio 2000, FA ha proposto il suo nuovo approccio per la vigilanza pubblicando “A new Regulator for the New Millennium”; nel febbraio 2003 ha poi pubblicato il white-paper ‘The Firm Risk Assessment Framework’ che comprendeva le linee guida sul risk assessment work. Negli anni successivi è stato realizzato ARROW con l’obiettivo di:

• migliorare le comunicazioni con el aziende soggette alla vigilanza di FSA;
• aumentare l’efficienza ed efficacia del processo di gestione dei rischi condividendo le conoscenze;
• rendere possible un approccio flessibile e proporzionale ai rischi;
• migliorare gli skills.

Risk-based regulation in pratica

ARROW permette di:

• identificare i principali rischi
• misurare il valore di tali rischi
• mitigare i rischi se necessario
• monitoring e reporting delle attività di risk management.

In poche parole si accetta l’idea che i rischi non possono essere mai del tutto eliminati anche perché questo provocherebbe costi proibitivi alle aziende ed ai consumatori. Occorre viceversa fare un assessment periodico dei rischi e valutare quali devono essere eliminati o ridotti.
ARROW prende in considerazione sette vettori generici di rischio che devono essere gestiti; tali vettori sono definiti ‘Risks to Objectives’ (RTOs). Essi si basano, a loro volta, su un raggruppamento standard dei rischi potenziali.

Risks to Objectives - RTO

1. Financial Failure (FF): the risk to the market confidence and consumer protection statutory objectives arising from the insolvency or illiquidity of a firm. For high-impact firms/groups this may also include financial losses that, while short of causing failure, can still adversely affect market confidence because of the scale of these firms/groups in relation to particular markets.
2. Misconduct and/or mismanagement (MM): the risk to the consumer protection and market confidence statutory objectives of mis-selling or mis-handling of regulated products by firms, of inappropriate behaviour by firms in their wholesale market activities, or other mismanagement of their operations.
3. Consumer understanding (CU): the risk to the consumer protection and public awareness statutory objectives arising from possible lack of understanding by consumers of regulated products bought from firms.
4. Market quality (MQ): the risk to the market confidence and consumer protection statutory objectives arising from possible deterioration in a market’s function. This channel will only be relevant to certain authorised firms and recognised bodies that are important in the operation of UK markets.
5. Fraud or dishonesty (FD): the risk to the financial crime and market confidence statutory objectives of the incidence of fraud or dishonesty – either within firms, or by external parties defrauding firms.
6. Market abuse (MA): the risk to the financial crime, consumer protection and market confidence statutory objectives of market abuse conducted by firms.
7. Money laundering (ML): the risk to the financial crime and market confidence statutory objectives of money laundering conducted through firms.

Raggruppamento dei rischi

• 1 Environmental Risks
• 1 Economic Environment
• 2 Legislative/Political Environment
• 3 Competitive Environment
• 4 Capital Market Efficiency
• 2 Customers, Products & Markets
• 5 Institutional Client/Counterparty Characteristics
• 6 Retail Customer Characteristics
• 7 Institutional Product/Market Characteristics
• 8 Retail Product Characteristics
• 9 Distribution Channels
• 10 Conflicts of Interest
• 3 Business Process Risks
• 11 Litigation/Legal Risk
• 12 People Risk
• 13 IT Systems
• 14 Other Business Process Risks
• 15 Structure & Ownership
• 4 Prudential Risks
• 16 Credit Risk
• 17 Market Risk
• 18 Operational Risk
• 19 Liquidity Risk
• 20 Insurance Underwriting Risk
• 21 Element 2 Risks
• 22 Element 3 Risks
• 23 Element 4 Risks
• 5 Customers, Products & Markets Controls
• 21 Accepting Customers
• 22 Sales Process & Product Development
• 23 Post Sale Handling of Customers/Counterparties
• 24 Market Conduct Controls
• 25 Membership Arrangements for RIEs
• 26 Conflict of Interest Management
• 6 Financial and Operating Controls
• 27 Clearing and Settlement Arrangements
• 28 Financial Controls
• 29 IT Security and Controls
• 30 Policies, Procedures and Controls
• 31 Human Resources Controls
• 32 Security of Client Assets or Client Money
• 33 Business Continuity Planning
• 7 Prudential Risk Controls
• 34 Credit Risk Controls
• 35 Market Risk Controls
• 36 Operational Risk Controls
• 37 Liquidity Risk Controls
• 38 Insurance Risk Controls
• 39 Element 2 Controls
• 40 Element 3 Controls
• 41 Element 4 Controls
• 8 Control Functions
• 42 Compliance
• 43 Internal Audit
• 44 Enterprise-wide Risk Management
• 9 Management, Governance and Culture
• 45 Culture & Management
• 46 Corporate Governance
• 47 Relationship with Regulators
• 48 Strategic Planning
• 49 Relationship with Rest of Group
• 10 Capital & Liquidity
• 50 Adequacy of Capital
• 51 Adequacy of Liquidity
• 52 Adequacy of PII

Contatti e feedback

NOSPAMLyndonDOTNelsonATfsaDOTgovDOTukNOSPAM
(eliminare NOSPAM, sostituire DOT e AT)

Chi è Cristina Cellucci?

Cristina è Internal Auditor presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• Antiriciclaggio – un approccio per rischi
• Banca D’Italia: La banca del futuro (fiducia, trasparenza e compliance)
  
• Compliance e antiriciclaggio (parte prima,  seconda e terza)
• Compliance: convegno "Nuovi adempimenti normativi per società iscritte all'Ufficio Italiano Cambi" (anche via Internet)
• Compliance e Trasparenza
• Compliance e Market Abuse – parte prima  e seconda
• FSA – Industry Guidance
• FSA: proposta per passare ad una regulation basata sui principi
• Compliance: le proposte della FSA inglese
• FSA: Business Continuity Management - Practice Guide
• ABI: Position paper sulla Compliance
• MiFID: la Direttiva sui mercati degli strumenti finanziari
• Compliance: il quadro europeo
• ABI Lab: intervista a Matteo Lucchetti, coordinatore della Centrale d'Allarme per Attacchi Informatici
• Costi/benefici della funzione Compliance: intervista alla dottoressa Manuela Gallo dell'Università di Perugia
• ABI Lab: Business Continuity e Disaster Recovery, intervista a Romano Stasi
  AICOM: Linee guida per la funzione di Compliance
• ABI: "enciclopedia " online sulla Compliance
• Indagine AICOM sui costi/benefici della funzione Compliance
• Compliance: le osservazioni di AICOM alle Istruzioni di Vigilanza in materia di "conformità alle norme" di Banca d’Italia
• La Compliance in banca
• Compliace: linee guida ABI sul D. LGS. 231/2001 (parte prima e seconda)
• Compliance: le misure richieste per la Centrale d’Allarme Interbancaria (CAI)
• D. LGS. N. 231/2001: l’analisi dei rischi – parte prima e seconda
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• Compliance: gli obblighi per le SGR
• Sicurezza e Compliance – l’analisi dei rischi 
• Sicurezza e Compliance – prima parte: il quadro di riferimento
• Compliance: primo schema di Istruzioni di vigilanza di Banca d’Italia
  
• Incontro sulla Compliance – resoconto (prima parte) 
• Sicurezza e Compliance: quando il gioco si fa duro 
• Incontro sulla Compliance 
• KPMG: nuove sfide per la sicurezza delle informazioni