Site Network:

ICT4Law Regione Piemonte

Augeos

Obiettivi
L’ambito di applicazione del progetto è attinente al processo del Compliance Risk Management.Banca d’Italia definisce il rischio di non conformità come il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). Il rischio di conformità è un caso particolare di rischio operativo.
Tra i compiti specifici del Compliance Risk Manager si possono individuare le seguenti fasi
1. Individuazione della normativa
2. Individuazione dei rischi
3. Valutazione e misurazione
4. Monitoraggio
5. Reporting
6. Formazione e Consulenza

In particolare abbiamo concentrato l’attenzione sullla fase di individuazione dei rischi che si esplicita nella individuazione della presenza di rischi di compliance lungo i processi aziendali attraverso l’applicazione di metodologie standard.
L’idea chiave per questa parte della ricerca consiste nel cercare di dare degli strumenti di supporto al Compliance Manager per la suddetta fase utilizzando la semantica e le ontologie. Si tratta di utilizzare la descrizione dei processi aziendali scomposti in ontologie coerenti per individuare quei processi in cui potenzialmente possono essere nascosti dei rischi normativi.
Viene utilizzato lo strumento Eunomos frutto di esperienze del dipartimento di informatica nell’ambito di altri progetti di ricerca simili per la formalizzazione delle ontologie giuridiche.
L’obiettivo dell’attività di ricerca si concentra sul trovare una vicinanza ontologica-semantica tra l’articolo di una legge e una descrizione di una attività di un ufficio con diversi livelli di profondità:
– 1 livello: vicinanza semantica (uso di tecniche di vicinanza tra parole chiave e concetti espressi nella legge e in una descrizione di un processo)
– 2 livello: tecniche per individuazione di vicinanza tra entità ontologicamente rilevanti di una legge (ruoli, diritti, doveri, vincoli, validità etc...) e quelle rilevanti di processo( responsabili, azioni da fare, vincoli etc...)
– 3 livello: model checking: test della descrizione dei processi sulla base di un set di leggi

Obiettivi secondari finalizzati allo scopo sono poi
– Omogenizzazione di ontologie per la descrizione di processi rispetto a quelle giuridiche
– Check e verifica Ex-post: Verifica se gli obblighi normativi sono stati considerati nei documenti che vengono prodotti al cliente di una banca. Questo permette anche una verifica dell’efficacia del modello di individuazione dei rischi.
– Ricerca semiautomatica: termini syllabus associati a norme. Ricerca full text termini per il collegamento a norme e a descrizione dei processi.
– Ricerca ontologica: se trovo il collegamento ad un concetto, questo mi suggerisce ruoli tematici.

I primi ambiti di applicazione che vengono scelti sono riferiti ad un contesto tipicamente bancario in cui il livello di formalizzazione della descrizione dei procesi aziendali è estremamente accurato e l’esperienza dei consulenti di Augeos sul tema nell’ambito del progetto di ricerca permettono un riscontro oggettivo sull’efficacia dei risultati.
Si vogliono individuare alcuni strumenti in grado di migliorare la gestione dei processi nel rapporto con la normativa, e fornire una metodologia che permetta di avere un approccio rigoroso sia nella definizione che nel controllo di compliance dei processi.
Si vuole estrarre i dati sensibili dai processi aziendali per trasformarli in un formato facilmente accessibile e analizzabile in modo da poter sottoporre i processi a controlli di compatibilità con i vincoli imposti dalle norme.
Gli strumenti informatici devono supportare il personale preposto al controllo nella gestione del cambiamento, che sia un cambiamento normativo o organizzativo. Inoltre possono facilitare anche l’attività di creazione della documentazione a supporto delle azioni volte alla gestione del cambiamento.

Caso di studio

E’ stato scelto di utilizzare un caso di studio in ambito bancario dove il problema di adeguamento dei processi alla normativa risulta di particolare rilievo.
Come normativa è stata scelta la MiFID (Market in Financial Instruments Directive) che ha avuto (e ha tuttora) un elevato impatto sia sull’organizzazione interna delle banche sia sui rapporti tra queste e la clientela.
Si tratta della direttiva comunitaria 2004/39/CE (integrata con la direttiva 2006/31/CE), recepita mediante legge italiana (che demanda ai regolamenti Consob e Banca d’Italia) e che riguarda un ampio spettro di doveri e adempimenti da parte delle banche al fine di tutelare l’investitore.
Per sintetizzare i contenuti della Mifid possiamo ricondurre le principali innovazioni introdotte dalla direttiva a tre aree distinte:
• Ambito di applicabilità della normativa: servizio di consulenza in materia di investimenti, identificazione della clientela, requisiti organizzativi da soddisfare, gestione dei conflitti d’interesse.
• Disciplina dell’offerta di servizi di negoziazione: individuazione di tre tipologie di piattaforme e sistemi di negoziazione: mercati regolamentati (RM), sistemi multilaterali di negoziazione (MTF), internalizzatori sistematici.
• Regime di trasparenza delle condizioni di mercato (pre e post trade)
• I concetti chiave: adeguatezza e appropriatezza.

Si è ipotizzato di modellizzare la normativa in termini di vincoli, ruoli, adempimenti, e successivamente creare una serie di tool in grado di confrontare questo modello, con quello aziendale opportunamente scomposto in ruoli, processi, procedure, controlli per verificarne l’adeguatezza.
Si è scelto di partire da uno processo bancario relativamente semplice per verificare la possibilità di costruirci sopra un motore di workflow e individuando le norme che lo riguardano utilizzare dei tool in grado di fornire informazioni utili al lavoro del compliance manager.

Descrizione del Caso

E’ stato selezionato il processo Offerta fuori sede servizi di investimento” in essere presso un istituto bancario italiano.
Il processo si articola in fasi suddivise in attività a loro volta composte da operazioni svolte da specifici soggetti coinvolti nell’operatività.
Le fasi del processo “Offerta fuori sede servizi di investimento” analizzate:
1) Primo contatto con la clientela
2) Apertura rapporto per offerta fuori sede
3) Esecuzione disposizioni clientela
4) Inserimento disposizioni clientela
5) Recesso su attività fuori sede

L’iter operativo di ogni fase è stato schematizzato tramite diagrammi di flusso in cui sono evidenziati la struttura organizzativa, i ruoli e gli adempimenti (attività). Il lavoro di presentazione ha riguardato l’attività analisi del processo e della normativa di riferimento per collegare ad ogni operazione rilevante lo specifico riferimento normativo.
Lo scopo è valutare la possibilità di creare tool in grado di effettuare l’associazione tra attività e norme e in grado di fornire indicazioni circa il livello di compliance del processo e della struttura organizzativa.

Risultati

Grazie alla fattiva collaborazione tra Università ed aziende dell’intero WP6 si è potuto sperimentare la parte relativa a :
• Modellizzazione della parte di normativa (XML) che impatta sul processo selezionato
• Formalizzazione dell processo (in XPDL o mediante rappresentazione grafica).
• Verifica della compliance del processo stesso attraverso il model checker.