Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Lottomatica in pillole • Leader del mercato del gioco legale in Italia, a capo di 13 società • E’ un’azienda del gruppo IGT, Leader di mercato Globale che opera in oltre 100 Paesi nel mondo • Azionista di maggioranza italiano (DeAgostini), quotata a NYSE • Ricavi Italia 1.5 Miliardi di € e 1.700 dipendenti • Ricavi Mondo 5 Miliardi di $ e 12.000 dipendenti • Portfolio Prodotti: Lotterie, Slot, Scommesse, Digital, Servizi Commerciali e di Pagamento • In Italia ha una rete di 90.000 Punti Vendita, connessi in tempo reale 01/07/2019 Titolo documento 2
La struttura di Compliance & Risk Management in Lottomatica Compliance & Risk Management Italy Risk Monitoring & Quality, Policies & Compliance & AML Risk Management Reporting Procedures 01/07/2019 Titolo documento 4
I pilastri del Sistema dei Controlli Interni e Gestione del Rischio Alberatura Gestione ERM Risk Sistema Definizione SCIGR Notmativo Q-ERM & dei processi Incidenti e Assessment Data Loss Integrato RAF Incidents New Collection and frauds initiatives Reporting procedure Risk Culture/ Risk Perception Debole Sostenibile Matura Integrata Avanzata Nov. '15 Gen. '16 Gen. – Dic.'15 Nov.'15– Feb.'16 Gen.’18 - Dic. ‘19 2020….. Roadmap 1. Policy SCIGR 1. Sistema Normativo Evoluzione della Data Loss Attività di Risk 2. Procedura Risk Integrato (SOX, 231/01, Metodologia per la Preliminary Collection Assessment e Management/Assessment AML, Certificazioni ISO) quantificazione di Process Region Italy definizione degli Map 3. Procedura gestione degli 2017 Action Plan 2. Metodologia di Analisi Risk Profile, Risultati incidenti e delle frodi dei Rischi integrata tolerance, capacity (ERM e SGSI) and appetite 4. Procedura gestione nuove iniziative confidential 5
La mappa dei processi aziendali L’alberatura dei processi è uno strumento fondamentale per le attività delle funzioni di controllo. Se associata alla cartografia dei rischi è la base per censire gli eventi di rischio all’interno dei processi aziendali con i relativi responsabili. Architettura Mappa dei Processi Struttura Mappa dei Processi (illustrative) Governance and control 1. Planning and Strategy Area 2. Internal Control System It is the highest Macro-Processi level of aggregation 3… of the process map It is one of the Processi and is divided into subsets that makes Business three clusters: up each area, It is the "end to Fase 1. Governance 1. Product 2. Clients aimed at identifying end" sequence of 3. … and Control, areas of input resources The phase is the Manag. Manag. 2. Business characteristic transformation that maximum level of detail 3. Corporate & IT. activities, will produce considered significant. specialized by outputs functional Each stage consists of segment, purpose, to the start of multiple activities, 1. Finance Corporate etc. subsequent represented through a and IT processes. 2. Human Resources workflow. 3. Legal 4… 01/07/2019 Titolo documento 6
Il Sistema dei Controlli Interni E’ importante dotarsi di un Sistema strutturato per una corretta ed efficace pianificazione ed esecuzione delle attività di controllo, che consenta di sviluppare sinergie tra gli attori del SCIGR Da un Sistema dei controlli non ... a un Sistema dei controlli integrato. strutturato… Supervision, is to verify that the set of control Governance functions is defined and that the functions are Third provided with adequate resources. Second Level Level Controls III level controls Internal audit activities aimed at assessing the Controls completeness, effectiveness and adequacy of the internal control system. First Level II level controls Controls on risk management entrusted to Controls units other than production (Compliance and Risk Management) Line controls performed by the production I level controls facilities with the aim of monitoring the proper conduct of operations Sistema dei controlli non strutturato Sistema di controllo strutturati secondo le best practices di riferimento X Assenza di uniformità nella pianificazione ed esecuzione dei controlli e con una governance centralizzata di secondo livello Chiara divisione dei compiti e delle responsabilità tra i diversi attori coinvolti nell'esecuzione delle attività di controllo X Possibile duplicazione delle attività di controllo Pianificazione e implementazione delle attività di controllo condivise e X Riduzione o fallimento nelle attività di mitigazione dei rischi omogenee Titolo documento 7
La gestione degli incidenti I Rischi operativi possono comportare perdite economiche per la società a causa di inadeguatezza e inefficienza dei processi, delle persone, dei sistemi, delle frodi interne ed esterne e degli eventi dannosi di natura esterna. La diffusione della cultura e percezione del rischio in azienda passa soprattutto dal processo di Gestione degli Incidenti che si compone di tre fasi: Reporting e Segnalazione Incidente Gestione dell’Incidente Archiviazione • identificare le cause degli incidenti; • rafforzare i processi attraverso azioni immediate, finalizzate al contenimento del rischio, e Action Plan volti a prevenire il ripetersi dell’evento; • censire gli incidenti e i relativi impatti e registrarli in un Loss Data Collection; Obiettivi • informare tempestivamente il management/vertice aziendale sugli Incidenti occorsi. 01/07/2019 Titolo documento 8
Il processo di ERM Risk Assessment Intervista Email 1.Identificazione 2. Valutazione 3. Valutazione Fasi 4. Condivisione degli eventi a Rischio Rischio residuo dei risultati rischio Inerente (*) (**) Livello Rischio Inerente Livello Rischio Residuo La conferma o 10 10 Condivisione dei risultati Descrizione meno degli eventi dei due questionari di rischio proposti 8 8 (inerente + residuo) ed eventuale FC FC Proposta di aggiunta di altri 6 6 Impact Impact prioritizzazione dell'action eventi di rischio. plan, e definizione delle 4 4 relative due date e FC 2 2 ownership 0 2 4 6 8 10 0 2 4 6 8 10 Likelihood Likelihood (*) Il rischio inerente, che cosa significa? (**) Il rischio residuo, che cosa significa? Il rischio che una attività implicherebbe se Il rischio che rimane dopo che tutti i nessun controllo o altri fattori di presidio controlli e le azioni di mitigazione sono non fossero in vigore (il rischio lordo o presi in considerazione (il rischio netto o rischio prima dei controlli). rischio dopo i controlli). 01/07/2019 Titolo documento 9
Sistema Normativo Integrato Il Sistema Normativo Integrato (SNI) contribuisce a realizzare l’integrazione del SCIGR nei processi aziendali promuovendo la creazione di un linguaggio comune tra funzioni di controllo e di business con un’unica tassonomia dei processi. Inoltre consente di ridurre il numero di strumenti normativi e i tempi per le attività di controllo. Policy Definizione dei principi generali di regolamentazione di una tematica specifica. Ispirano tutte le attività svolte dal gruppo. Rappresentazione documentale Procedura realizzata per Aziendale Risk Definiscono le modalità di gestione dei processi convalidare Management end to end e dei relativi rischi in un’ottica di specifici obblighi compliance integrata, individuano, in particolare, i verso Enti di ruoli e le responsabilità in capo alle diverse Certificazione ed funzioni aziendali, le fasi del processo, i flussi Enti Regolatori informativi e i principi di controllo di riferimento Manuale PRO PRO PRO RA Definiscono le modalità operative per la gestione di specifici ambiti/attività. Sono emanate in caso sia necessario dettagliare operativamente gli alcuni ambiti della relativa Procedura Aziendale. Ottimizzazione tempo del controllo e riduzione del numero di documenti 01/07/2019 Titolo documento 10
Rischio di non conformità Rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di autodisciplina). • Sanzioni reputazionali (sfiducia dei consumatori), RISCHIO sanzioni pecuniarie, sanzioni interdittive STRATEGICO • Il mancato rispetto delle regole, non è solo un fatto etico, ma mette a rischio il successo economico e la stessa sopravvivenza sul mercato di un’impresa. GESTIONE • Organizzare il rispetto delle regole in modo da DEL RISCHIO ridurre in modo significativo i rischi di non conformità. • Organizzare il rispetto delle regole in modo efficiente dal punto di vista dei costi e dei risultati. 11
Per governare un sistema complesso occorre avere una complessità simile o superiore a tale sistema Norme internazionali Ruoli e Responsabilità Leggi nazionali Processi e Procedure Complessità Complessità Regolamentazione locale esterna interna Controlli Standard di Qualità Soluzioni IT Principi etici Controlli MIN Rischio di non MAX conformità 12
Gestire la compliance significa gestire una parte del sistema organizzativo e delle variabili di cui esso si compone. • Interagire con tutto il sistema aziendale, di cui è parte integrante • Non solo regole ma anche competenze, responsabilità e processi • Trasportare all’interno dell’azienda le regole esterne, traducendole in procedure, processi e valori • Assicurare l’armonizzazione delle regole, integrandole nel contesto organizzativo • Una nuova e ben definita figura manageriale 13
Processo della Compliance l’insieme delle regole, delle Monitoraggio procedure, delle risorse (umane, tecnologiche e organizzative) e delle Mitigazione attività di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare Formazione nonché comunicare ai livelli gerarchici appropriati tutti i rischi assunti o assumibili Valutazione Identificazione In una logica integrata Linee guida Pianificazione 14
Un esempio - Modello 231/01 Gaming Ciascuna delle Società ha adottato un proprio Modello di Attività Intermediari Organizzazione e Produttive Finanziari Controllo ex D.lgs. 231/01 (MOG). Ferma restando Holding l’autonoma gestione, i modelli sono stati elaborati secondo un approccio coordinato e coerente con i processi intercompany IT/Telco Servizi 15
Sistema Integrato di Funzioni DP O Compliance Legal Affair Per la gestione dei Modelli di Organizzazione e Controllo, previsti Quality, Focal Policies Point dal D. Lgs. 231 del 2001, & Decreto Lottomatica ha ideato un Sistema Procedu res Legislativo Integrato di funzioni che garantisce, EHS 231/01 Risk Manage a ciascun Modello adottato, seppur &S ment indipendente, un approccio coerente e interdisciplinare al presidio 231. Audit HR Lottomatica La Compliance di Lottomatica si avvale si avvale del di un Sistemadelle lavoro interfunzionale Integrato di Funzioni altre direzioni, per capace garantiredialla garantire società il presidio inl’osservanza Lottomatica del decreto legislativo 321. materia 231. 16
Sistema Integrato di Funzioni Compliace & Anti Legal Affair Risk Management Internal Audit Money Laundering • Implementazione dei • Monitoraggio Modelli 231/01; normativo; • Identificazione, misurazione, gestione • Coordinamento delle • Metodologia gestione • Valutazione giuridica e monitoraggio dei Verifiche 231 (dell’OdV); dei rischi 231; dei progetti strategici; rischi; y • Reportistica per OdV • Supporto agli OdV; • Tutela legale interessi • Presidio sul processo di sull’avvio e gli esiti dei aziendali gestione incidenti. propri Audit. • Corporate Compliance • Supervisione delle • Gap Analysis e Controlli litigations. di 2° livello. Environment, Quality, Policies & People & Health, Safety and Procedures DPO Transformations Security • Coerenza del sistema • Training; • Salute sicurezza normativo interno; • Dirigere e supervisionare • Awarness; le il framework GDPR • Ambiente • Certificazioni per la • Sistema Disciplinare; Qualità, l’Ambiente, • DPIA • Sicurezza Fisica l’Energia, la Sicurezza • Aspetti Giuslavoristici delle informazioni, la Safety 1 7
Sistema integrato di Presidi Valutazione rilevanza 231 degli eventi catalogati Aree a Macro Associazione delle rischio 231 processi aree a rischio 231 ai processi aziendali Reati Normative mappati nello SNI Principi di Matrici di controllo controllo 18
Struttura dei Modelli • Regole di • Regole e controlli comportamento generali integrati nelle procedure • Valutazione di rischio aziendali aggiornata • Valutazione di rischio periodicamente continua • Struttura «statica» • Struttura «dinamica» Confidential 19
Evoluzione dell’ERM verso il Quantitative ERM & RAF Quantitative ERM (Q-ERM) è un approccio evoluto dell’ Enterprise Risk Management (COSO framework) che principalmente viene utilizzato nel mondo bancario Rispetto all’approccio classico dell’ERM, il Q-ERM include: Q ERM ERM • Due step aggiuntivi per la quantificazione dei rischi: analisi di scenario e distribuzione discreta di probabilità, al fine di misurare l'impatto economico dei principali rischi identificati analisi delle correlazioni di tutte le misure di rischio, indipendentemente dai modelli utilizzati per valutarli • differenze metodologiche con impatti minori, ma essenziali per qualificare i suddetti step aggiuntivi (ad esempio analisi delle azioni specifiche per il raggiungimento degli obiettivi strategici) • utilizzo dei risultati come input dei modelli stocastici per il Piano Industriale, chiamato anche Business Plan @ Risk 01/07/2019 Titolo documento 20
Governance, Risk Management and Compliance (GRC) Platform 01/07/2019 Titolo documento 21
Puoi anche leggere