Nella prima parte di quest’articolo abbiamo presentato la nuova guida dedicata ad ARROW il  risk assessment framework di FSA, framework di cui avevamo già parlato diffusamente in questa newsletter. In questa seconda parte illustriamo come avviene la visita di assessment.

L’ispezione

Le ispezioni volte al risk assessment delle aziende vigilate sono preventivamente annunciate da FSA che richiede in anticipo documenti quali verbali del CdA, organigramma delle funzioni chiave al fine di decidere chi intervistare nel corso della visita.
Di solito viene intervistato il senior management, sia del "front-line" business che delle funzioni chiavi di controllo – cioè i responsabili dell’internal audit, della compliance e del risk management nonché i "Non-Executive Directors" quali i componenti dell’Audit Committee. Incontrare i Non-Executive è una parte importante del risk assessment perché permette di valutare il loro grado di consapevolezza su temi vitali quali il management, la governance e la cultura aziendale.

Typical questions

La tabella 3 a pagina 11 del documento di FSA riporta un’ampia casistica di tipiche domande e verifiche effettuate durante l’assessment. Di seguito riportiamo le principali aree analizzate.

Control culture

È vitale che il CdA ed il management stabiliscano il corretto grado aziendale di controllo; l’intervista può quindi riguardare:

• Integrity and ethical values of staff.
• Participation of directors in Board meetings/sub-committees.
• Management’s operating style and philosophy.

Governance

Una governance appropriata deve comprendere policy, procedure e prassi che garantiscano che tutto il personale possa agire in conformità con quanto deciso dai vertici aziendali.

Risk Assessment & Planning

Il vertice aziendale deve adottare una pianificazione efficace ed efficiente anche nell’ambito del risk assessment e dei controlli.

Post Visit

Dopo la visita in azienda, FSA valuta il rischio (secondo il modello indicato nella prima parte di quest’articolo) e propone un Risk Mitigation Programme (RMP) cioè l’elenco dei punti di debolezza individuati attraverso una draft-letter. L’azienda ha a disposizione due settimane per rispondere alle osservazioni contenute nella draft-letter (ad esempio segnalando eventuali inesattezze); infine FSA invia la versione definitiva delle sue osservazioni al C.d.A.

Follow-up

Le azioni indicate da FSA devono essere effettuate dall’azienda nei tempi previsti (di norma tra uno e quattro anni).Le aziende classificate (vedi  prima parte di quest’articolo) come ad alto rischio sono nel frattempo soggette ad un monitoraggio continuo da parte di FSA.
Fine seconda parte
Leggi  la  prima parte.

Chi è Cristina Cellucci?

Cristina è Internal Auditor presso un primario gruppo bancario nazionale.

IsacaRoma Neswletter link

• FSA's risk-based approach  (parte prima e seconda)
• Compliace: letture interessanti 
• Compliace: invito a collaborare
• KPMG: Compliance - Aspetti di Information Risk Management
• Compliance: il modello di FSA
• FSA: ARROW – risk assessment framework (parte prima, seconda e terza)
• Antiriciclaggio – un approccio per rischi
• Banca D’Italia: La banca del futuro (fiducia, trasparenza e compliance)
  
• Compliance e antiriciclaggio (parte prima,  seconda e terza)
• Compliance: convegno "Nuovi adempimenti normativi per società iscritte all'Ufficio Italiano Cambi" (anche via Internet)
• Compliance e Trasparenza
• Compliance e Market Abuse – parte prima  e seconda
• FSA – Industry Guidance
• FSA: proposta per passare ad una regulation basata sui principi
• Compliance: le proposte della FSA inglese
• FSA: Business Continuity Management - Practice Guide
• ABI: Position paper sulla Compliance
• MiFID: la Direttiva sui mercati degli strumenti finanziari
• Compliance: il quadro europeo
• ABI Lab: intervista a Matteo Lucchetti, coordinatore della Centrale d'Allarme per Attacchi Informatici
• Costi/benefici della funzione Compliance: intervista alla dottoressa Manuela Gallo dell'Università di Perugia
• ABI Lab: Business Continuity e Disaster Recovery, intervista a Romano Stasi
  AICOM: Linee guida per la funzione di Compliance
• ABI: "enciclopedia " online sulla Compliance
• Indagine AICOM sui costi/benefici della funzione Compliance
• Compliance: le osservazioni di AICOM alle Istruzioni di Vigilanza in materia di "conformità alle norme" di Banca d’Italia
• La Compliance in banca
• Compliace: linee guida ABI sul D. LGS. 231/2001 (parte prima e seconda)
• Compliance: le misure richieste per la Centrale d’Allarme Interbancaria (CAI)
• D. LGS. N. 231/2001: l’analisi dei rischi – parte prima e seconda
• Compliance: obblighi delle assicurazioni per la gestione dei rischi
• Compliance: gli obblighi per le SGR