Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma

Pagina creata da Nicolò Furlan
 
CONTINUA A LEGGERE
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
Compliance & Risk Management
         Lottomatica

         Nicodemo Baffa
         Fabio Conciatore
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
Lottomatica in pillole
                         • Leader del mercato del gioco legale in Italia, a capo di 13 società
                         • E’ un’azienda del gruppo IGT, Leader di mercato Globale che opera
                           in oltre 100 Paesi nel mondo
                         • Azionista di maggioranza italiano (DeAgostini), quotata a NYSE
                         • Ricavi Italia 1.5 Miliardi di € e 1.700 dipendenti
                         • Ricavi Mondo 5 Miliardi di $ e 12.000 dipendenti
                         • Portfolio Prodotti: Lotterie, Slot, Scommesse, Digital, Servizi
                           Commerciali e di Pagamento
                         • In Italia ha una rete di 90.000 Punti Vendita, connessi in tempo reale

  01/07/2019                     Titolo documento                                            2
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
CONCESSIONI                     SOX
       REPUTAZIONE

                                                            LEGGI
TECNOLOGIA
                                                        GEOGRAFIA

                                           CERTIFICAZIONI

01/07/2019              Titolo documento                       3
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
La struttura di Compliance & Risk Management in Lottomatica

                       Compliance & Risk Management
                                   Italy

                                              Risk Monitoring &   Quality, Policies &
 Compliance & AML   Risk Management
                                                  Reporting         Procedures

  01/07/2019                     Titolo documento                                 4
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
I pilastri del Sistema dei Controlli Interni e Gestione del Rischio

             Alberatura                                         Gestione               ERM Risk                Sistema                 Definizione
                                       SCIGR                                                                  Notmativo                 Q-ERM &
            dei processi                                       Incidenti e            Assessment
                                                               Data Loss                                      Integrato                   RAF
                                   Incidents    New            Collection
                                  and frauds initiatives
                                   Reporting procedure

                                                           Risk Culture/ Risk Perception

                Debole                       Sostenibile                     Matura                   Integrata                       Avanzata

                 Nov. '15                Gen. '16              Gen. – Dic.'15     Nov.'15– Feb.'16         Gen.’18 - Dic. ‘19              2020…..
Roadmap
                             1.     Policy SCIGR
                                                                                                      1.   Sistema Normativo              Evoluzione della
                                                                   Data Loss       Attività di Risk
                             2.     Procedura Risk                                                         Integrato (SOX, 231/01,      Metodologia per la
               Preliminary                                         Collection      Assessment e
                                    Management/Assessment                                                  AML, Certificazioni ISO)      quantificazione di
                Process                                           Region Italy    definizione degli
                  Map        3.     Procedura gestione degli         2017           Action Plan       2.   Metodologia di Analisi           Risk Profile,
Risultati                           incidenti e delle frodi                                                dei Rischi integrata         tolerance, capacity
                                                                                                           (ERM e SGSI)                     and appetite
                             4.     Procedura gestione nuove
                                    iniziative

                                                                      confidential                                                                  5
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
La mappa dei processi aziendali
L’alberatura dei processi è uno strumento fondamentale per le attività delle funzioni di controllo. Se associata alla
cartografia dei rischi è la base per censire gli eventi di rischio all’interno dei processi aziendali con i relativi
responsabili.

 Architettura Mappa dei Processi                                                                           Struttura Mappa dei Processi (illustrative)

                                                                                                Governance
                                                                                                and control
                                                                                                                       1. Planning and Strategy
            Area
                                                                                                                       2. Internal Control System
  It is the highest         Macro-Processi
  level of aggregation                                                                                                            3…
  of the process map     It is one of the              Processi
  and is divided into    subsets that makes

                                                                                                Business
  three clusters:        up each area,          It is the "end to              Fase
  1. Governance                                                                                                 1. Product     2. Clients
                         aimed at identifying   end" sequence of                                                                                3. …
         and Control,    areas of               input resources       The phase is the                           Manag.         Manag.
  2. Business            characteristic         transformation that   maximum level of detail
  3. Corporate & IT.     activities,            will produce          considered significant.
                         specialized by         outputs functional    Each stage consists of
                         segment, purpose,      to the start of       multiple activities,                                     1. Finance

                                                                                                Corporate
                         etc.                   subsequent            represented through a

                                                                                                 and IT
                                                processes.                                                               2. Human Resources
                                                                      workflow.
                                                                                                                                3. Legal
                                                                                                                                  4…

   01/07/2019                                                            Titolo documento                                                                6
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
Il Sistema dei Controlli Interni
E’ importante dotarsi di un Sistema strutturato per una corretta ed efficace pianificazione ed esecuzione delle attività di
controllo, che consenta di sviluppare sinergie tra gli attori del SCIGR

           Da un Sistema dei controlli non                                                    ... a un Sistema dei controlli integrato.
                    strutturato…
                                                                                                            Supervision, is to verify that the set of control
                                                                                    Governance              functions is defined and that the functions are
                                     Third                                                                  provided with adequate resources.
                      Second         Level
                       Level        Controls                                      III level controls          Internal audit activities aimed at assessing the
                      Controls                                                                                completeness, effectiveness and adequacy of the
                                                                                                              internal control system.
                                  First
                                  Level
                                                                                     II level controls             Controls on risk management entrusted to
                                 Controls
                                                                                                                   units other than production (Compliance and
                                                                                                                   Risk Management)

                                                                                                                       Line controls performed by the production
                                                                                        I level controls               facilities with the aim of monitoring the
                                                                                                                       proper conduct of operations
                   Sistema dei controlli non
                         strutturato
                                                                             
                                                                              Sistema di controllo strutturati secondo le best practices di riferimento
X Assenza di uniformità nella pianificazione ed esecuzione dei controlli
                                                                               e con una governance centralizzata
  di secondo livello                                                         
                                                                              Chiara divisione dei compiti e delle responsabilità tra i diversi attori
                                                                                coinvolti nell'esecuzione delle attività di controllo

X Possibile duplicazione delle attività di controllo
                                                                              Pianificazione e implementazione delle attività di controllo condivise e
                                                                             
X Riduzione o fallimento nelle attività di mitigazione dei rischi
                                                                               omogenee

                                                                    Titolo documento                                                                      7
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
La gestione degli incidenti
I Rischi operativi possono comportare perdite economiche per la società a causa di inadeguatezza e
inefficienza dei processi, delle persone, dei sistemi, delle frodi interne ed esterne e degli eventi dannosi di
natura esterna.

La diffusione della cultura e percezione del rischio in azienda passa soprattutto dal processo di Gestione degli
Incidenti che si compone di tre fasi:

                                                                                                   Reporting e
   Segnalazione Incidente                    Gestione dell’Incidente
                                                                                                  Archiviazione

                        • identificare le cause degli incidenti;
                        • rafforzare i processi attraverso azioni immediate, finalizzate al contenimento del rischio, e
                          Action Plan volti a prevenire il ripetersi dell’evento;
                        • censire gli incidenti e i relativi impatti e registrarli in un Loss Data Collection;
     Obiettivi          • informare tempestivamente il management/vertice aziendale sugli Incidenti occorsi.

  01/07/2019                                           Titolo documento                                              8
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
Il processo di ERM Risk Assessment
                                                                    Intervista                                                                                Email

                      1.Identificazione                             2. Valutazione                             3. Valutazione
 Fasi

                                                                                                                                                      4. Condivisione
                        degli eventi a                                  Rischio                               Rischio residuo
                                                                                                                                                         dei risultati
                           rischio                                    Inerente (*)                                   (**)

                                                              Livello Rischio Inerente                      Livello Rischio Residuo
                  La conferma o                         10                                            10                                         Condivisione dei risultati
 Descrizione

                   meno degli eventi                                                                                                               dei due questionari
                   di rischio proposti                   8                                             8                                           (inerente + residuo)
                   ed eventuale                                              FC                                                 FC                Proposta di
                   aggiunta di altri                     6                                             6

                                                                                              Impact
                                                Impact

                                                                                                                                                   prioritizzazione dell'action
                   eventi di rischio.                                                                                                              plan, e definizione delle
                                                         4                                             4
                                                                                                                                                   relative due date e
                                                                                                                    FC
                                                         2                                             2                                           ownership

                                                         0      2    4      6       8   10             0            2     4      6     8    10
                                                                    Likelihood                                           Likelihood
                             (*)   Il rischio inerente, che cosa significa?                                  (**)   Il rischio residuo, che cosa significa?

                             Il rischio che una attività implicherebbe se                                    Il rischio che rimane dopo che tutti i
                             nessun controllo o altri fattori di presidio                                    controlli e le azioni di mitigazione sono
                             non fossero in vigore (il rischio lordo o                                       presi in considerazione (il rischio netto o
                             rischio prima dei controlli).                                                   rischio dopo i controlli).

         01/07/2019                                                               Titolo documento                                                                         9
Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
Sistema Normativo Integrato
Il Sistema Normativo Integrato (SNI) contribuisce a realizzare l’integrazione del SCIGR nei processi aziendali
promuovendo la creazione di un linguaggio comune tra funzioni di controllo e di business con un’unica
tassonomia dei processi. Inoltre consente di ridurre il numero di strumenti normativi e i tempi per le attività di controllo.

                                                        Policy                                     Definizione dei principi generali di
                                                                                              regolamentazione di una tematica specifica.
                                                                                                 Ispirano tutte le attività svolte dal gruppo.
 Rappresentazione
   documentale                                                   Procedura
   realizzata per                                                Aziendale
                                                                         Risk              Definiscono le modalità di gestione dei processi
    convalidare                                                      Management
                                                                                               end to end e dei relativi rischi in un’ottica di
 specifici obblighi                                                                         compliance integrata, individuano, in particolare, i
   verso Enti di                                                                              ruoli e le responsabilità in capo alle diverse
 Certificazione ed                                                                           funzioni aziendali, le fasi del processo, i flussi
  Enti Regolatori                                                                          informativi e i principi di controllo di riferimento

        Manuale

                                                                       PRO

                                                                              PRO

                                                                                  PRO RA    Definiscono le modalità operative per la gestione
                                                                                           di specifici ambiti/attività. Sono emanate in caso sia
                                                                                           necessario dettagliare operativamente gli alcuni ambiti
                                                                                                     della relativa Procedura Aziendale.

                        Ottimizzazione tempo del controllo e riduzione del numero di documenti

   01/07/2019                                           Titolo documento                                                                     10
Rischio di non conformità
             Rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o
                 danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di
                 regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di
                                                   autodisciplina).
                       • Sanzioni reputazionali (sfiducia dei consumatori),
     RISCHIO             sanzioni pecuniarie, sanzioni interdittive
   STRATEGICO          • Il mancato rispetto delle regole, non è solo un fatto
                         etico, ma mette a rischio il successo economico e
                         la stessa sopravvivenza sul mercato di un’impresa.

    GESTIONE           • Organizzare il rispetto delle regole in modo da
   DEL RISCHIO           ridurre in modo significativo i rischi di non
                         conformità.
                       • Organizzare il rispetto delle regole in modo
                         efficiente dal punto di vista dei costi e dei risultati.

                                                                                                        11
Per governare un sistema complesso occorre avere una complessità simile o
 superiore a tale sistema

 Norme internazionali                                          Ruoli e Responsabilità

    Leggi nazionali                                            Processi e Procedure
                            Complessità         Complessità
Regolamentazione locale       esterna             interna            Controlli

  Standard di Qualità                                               Soluzioni IT

     Principi etici                                                  Controlli

                      MIN           Rischio di non            MAX
                                     conformità

                                                                                        12
Gestire la compliance
      significa gestire una parte
      del sistema organizzativo e
      delle variabili di cui esso si
               compone.
• Interagire con tutto il sistema aziendale,
  di cui è parte integrante
• Non solo regole ma anche competenze,
  responsabilità e processi
• Trasportare all’interno dell’azienda     le
  regole    esterne,    traducendole       in
  procedure, processi e valori
• Assicurare l’armonizzazione delle regole,
  integrandole nel contesto organizzativo
• Una nuova       e   ben   definita   figura
  manageriale

                                                13
Processo della Compliance

 l’insieme delle regole, delle                          Monitoraggio
     procedure, delle risorse
        (umane, tecnologiche e
          organizzative) e delle                        Mitigazione
 attività di controllo volte a
      identificare, misurare o
         valutare, monitorare,
         prevenire o attenuare
                                                      Formazione
nonché comunicare ai livelli
   gerarchici appropriati tutti i
    rischi assunti o assumibili                     Valutazione

                                                 Identificazione
  In una logica integrata
                                              Linee guida
                                    Pianificazione

                                                                       14
Un esempio - Modello 231/01

                                                   Gaming

Ciascuna delle Società
ha adottato un proprio
        Modello di
                           Attività                                   Intermediari
    Organizzazione e
                          Produttive                                    Finanziari
   Controllo ex D.lgs.
     231/01 (MOG).
    Ferma restando
                                                  Holding
l’autonoma gestione, i
   modelli sono stati
 elaborati secondo un
approccio coordinato e
coerente con i processi
      intercompany                     IT/Telco             Servizi

                                                                                     15
Sistema Integrato di Funzioni
                                                    DP
                                                    O
                            Compliance
             Legal Affair
                                                                                                  Per la gestione dei Modelli di
                                                                                             Organizzazione e Controllo, previsti
Quality,                                                   Focal
Policies                                                   Point                                    dal D. Lgs. 231 del 2001,
   &                         Decreto                                                           Lottomatica ha ideato un Sistema
Procedu
  res                       Legislativo                                                      Integrato di funzioni che garantisce,
             EHS              231/01
                                                             Risk
                                                            Manage
                                                                                              a ciascun Modello adottato, seppur
             &S
                                                             ment                           indipendente, un approccio coerente
                                                                                               e interdisciplinare al presidio 231.
                    Audit
                                              HR

                         Lottomatica
La Compliance di Lottomatica            si avvale
                             si avvale del         di un Sistemadelle
                                           lavoro interfunzionale Integrato  di Funzioni
                                                                      altre direzioni, per capace
                                                                                           garantiredialla
                                                                                                       garantire
                                                                                                           società il presidio inl’osservanza
                                                                                                                   Lottomatica                del decreto legislativo 321.
                                                                                                                                   materia 231.

                                                                                                                                                                     16
Sistema Integrato di Funzioni
     Compliace & Anti
                                      Legal Affair              Risk Management                 Internal Audit
     Money Laundering

    • Implementazione dei        • Monitoraggio
      Modelli 231/01;              normativo;                 • Identificazione,
                                                                misurazione, gestione      • Coordinamento delle
    • Metodologia gestione       • Valutazione giuridica        e monitoraggio dei           Verifiche 231 (dell’OdV);
      dei rischi 231;              dei progetti strategici;     rischi;    y               • Reportistica per OdV
    • Supporto agli OdV;         • Tutela legale interessi    • Presidio sul processo di     sull’avvio e gli esiti dei
                                   aziendali                    gestione incidenti.          propri Audit.
    • Corporate Compliance
                                 • Supervisione delle
    • Gap Analysis e Controlli     litigations.
      di 2° livello.

        Environment,                                           Quality, Policies &
                                      People &
      Health, Safety and                                         Procedures                             DPO
                                   Transformations
           Security
                                                              • Coerenza del sistema
                                  • Training;
    • Salute sicurezza                                          normativo interno;         • Dirigere e supervisionare
                                  • Awarness;                                                le il framework GDPR
    • Ambiente                                                • Certificazioni per la
                                  • Sistema Disciplinare;       Qualità, l’Ambiente,       • DPIA
    • Sicurezza Fisica
                                                                l’Energia, la Sicurezza
                                  • Aspetti Giuslavoristici
                                                                delle informazioni, la
                                                                Safety

                                                                                                                          1
                                                                                                                          7
Sistema integrato di Presidi
Valutazione rilevanza
   231 degli eventi
      catalogati

                                      Aree a       Macro
 Associazione delle                rischio 231    processi
aree a rischio 231 ai
 processi aziendali
                                     Reati       Normative
 mappati nello SNI

                                   Principi di   Matrici di
                                   controllo     controllo

                                                              18
Struttura dei Modelli

•    Regole di                               •   Regole e controlli
     comportamento generali                      integrati nelle procedure
•    Valutazione di rischio                      aziendali
     aggiornata                              •   Valutazione di rischio
     periodicamente                              continua
•    Struttura «statica»                     •   Struttura «dinamica»

                              Confidential                                   19
Evoluzione dell’ERM verso il Quantitative ERM & RAF
Quantitative ERM (Q-ERM) è un approccio evoluto dell’ Enterprise Risk Management (COSO framework) che
principalmente viene utilizzato nel mondo bancario

                                        Rispetto all’approccio classico dell’ERM, il Q-ERM include:
                        Q
                           ERM

     ERM                                • Due step aggiuntivi per la quantificazione dei rischi:

                                                analisi di scenario e distribuzione discreta di probabilità, al fine
                                                 di misurare l'impatto economico dei principali rischi identificati

                                                analisi delle correlazioni di tutte le misure di rischio,
                                                 indipendentemente dai modelli utilizzati per valutarli

                                        • differenze metodologiche con impatti minori, ma essenziali per
                                          qualificare i suddetti step aggiuntivi (ad esempio analisi delle azioni
                                          specifiche per il raggiungimento degli obiettivi strategici)

                                        • utilizzo dei risultati come input dei modelli stocastici per il Piano
                                          Industriale, chiamato anche Business Plan @ Risk

  01/07/2019                               Titolo documento                                                       20
Governance, Risk Management and Compliance (GRC) Platform

  01/07/2019            Titolo documento             21
Puoi anche leggere