Compliance & Risk Management Lottomatica - Nicodemo Baffa Fabio Conciatore - ODCEC Roma
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Compliance & Risk Management
Lottomatica
Nicodemo Baffa
Fabio Conciatore
Lottomatica in pillole
• Leader del mercato del gioco legale in Italia, a capo di 13 società
• E’ un’azienda del gruppo IGT, Leader di mercato Globale che opera
in oltre 100 Paesi nel mondo
• Azionista di maggioranza italiano (DeAgostini), quotata a NYSE
• Ricavi Italia 1.5 Miliardi di € e 1.700 dipendenti
• Ricavi Mondo 5 Miliardi di $ e 12.000 dipendenti
• Portfolio Prodotti: Lotterie, Slot, Scommesse, Digital, Servizi
Commerciali e di Pagamento
• In Italia ha una rete di 90.000 Punti Vendita, connessi in tempo reale
01/07/2019 Titolo documento 2
CONCESSIONI SOX
REPUTAZIONE
LEGGI
TECNOLOGIA
GEOGRAFIA
CERTIFICAZIONI
01/07/2019 Titolo documento 3
La struttura di Compliance & Risk Management in Lottomatica
Compliance & Risk Management
Italy
Risk Monitoring & Quality, Policies &
Compliance & AML Risk Management
Reporting Procedures
01/07/2019 Titolo documento 4
I pilastri del Sistema dei Controlli Interni e Gestione del Rischio
Alberatura Gestione ERM Risk Sistema Definizione
SCIGR Notmativo Q-ERM &
dei processi Incidenti e Assessment
Data Loss Integrato RAF
Incidents New Collection
and frauds initiatives
Reporting procedure
Risk Culture/ Risk Perception
Debole Sostenibile Matura Integrata Avanzata
Nov. '15 Gen. '16 Gen. – Dic.'15 Nov.'15– Feb.'16 Gen.’18 - Dic. ‘19 2020…..
Roadmap
1. Policy SCIGR
1. Sistema Normativo Evoluzione della
Data Loss Attività di Risk
2. Procedura Risk Integrato (SOX, 231/01, Metodologia per la
Preliminary Collection Assessment e
Management/Assessment AML, Certificazioni ISO) quantificazione di
Process Region Italy definizione degli
Map 3. Procedura gestione degli 2017 Action Plan 2. Metodologia di Analisi Risk Profile,
Risultati incidenti e delle frodi dei Rischi integrata tolerance, capacity
(ERM e SGSI) and appetite
4. Procedura gestione nuove
iniziative
confidential 5
La mappa dei processi aziendali
L’alberatura dei processi è uno strumento fondamentale per le attività delle funzioni di controllo. Se associata alla
cartografia dei rischi è la base per censire gli eventi di rischio all’interno dei processi aziendali con i relativi
responsabili.
Architettura Mappa dei Processi Struttura Mappa dei Processi (illustrative)
Governance
and control
1. Planning and Strategy
Area
2. Internal Control System
It is the highest Macro-Processi
level of aggregation 3…
of the process map It is one of the Processi
and is divided into subsets that makes
Business
three clusters: up each area, It is the "end to Fase
1. Governance 1. Product 2. Clients
aimed at identifying end" sequence of 3. …
and Control, areas of input resources The phase is the Manag. Manag.
2. Business characteristic transformation that maximum level of detail
3. Corporate & IT. activities, will produce considered significant.
specialized by outputs functional Each stage consists of
segment, purpose, to the start of multiple activities, 1. Finance
Corporate
etc. subsequent represented through a
and IT
processes. 2. Human Resources
workflow.
3. Legal
4…
01/07/2019 Titolo documento 6
Il Sistema dei Controlli Interni
E’ importante dotarsi di un Sistema strutturato per una corretta ed efficace pianificazione ed esecuzione delle attività di
controllo, che consenta di sviluppare sinergie tra gli attori del SCIGR
Da un Sistema dei controlli non ... a un Sistema dei controlli integrato.
strutturato…
Supervision, is to verify that the set of control
Governance functions is defined and that the functions are
Third provided with adequate resources.
Second Level
Level Controls III level controls Internal audit activities aimed at assessing the
Controls completeness, effectiveness and adequacy of the
internal control system.
First
Level
II level controls Controls on risk management entrusted to
Controls
units other than production (Compliance and
Risk Management)
Line controls performed by the production
I level controls facilities with the aim of monitoring the
proper conduct of operations
Sistema dei controlli non
strutturato
Sistema di controllo strutturati secondo le best practices di riferimento
X Assenza di uniformità nella pianificazione ed esecuzione dei controlli
e con una governance centralizzata
di secondo livello
Chiara divisione dei compiti e delle responsabilità tra i diversi attori
coinvolti nell'esecuzione delle attività di controllo
X Possibile duplicazione delle attività di controllo
Pianificazione e implementazione delle attività di controllo condivise e
X Riduzione o fallimento nelle attività di mitigazione dei rischi
omogenee
Titolo documento 7
La gestione degli incidenti
I Rischi operativi possono comportare perdite economiche per la società a causa di inadeguatezza e
inefficienza dei processi, delle persone, dei sistemi, delle frodi interne ed esterne e degli eventi dannosi di
natura esterna.
La diffusione della cultura e percezione del rischio in azienda passa soprattutto dal processo di Gestione degli
Incidenti che si compone di tre fasi:
Reporting e
Segnalazione Incidente Gestione dell’Incidente
Archiviazione
• identificare le cause degli incidenti;
• rafforzare i processi attraverso azioni immediate, finalizzate al contenimento del rischio, e
Action Plan volti a prevenire il ripetersi dell’evento;
• censire gli incidenti e i relativi impatti e registrarli in un Loss Data Collection;
Obiettivi • informare tempestivamente il management/vertice aziendale sugli Incidenti occorsi.
01/07/2019 Titolo documento 8
Il processo di ERM Risk Assessment
Intervista Email
1.Identificazione 2. Valutazione 3. Valutazione
Fasi
4. Condivisione
degli eventi a Rischio Rischio residuo
dei risultati
rischio Inerente (*) (**)
Livello Rischio Inerente Livello Rischio Residuo
La conferma o 10 10 Condivisione dei risultati
Descrizione
meno degli eventi dei due questionari
di rischio proposti 8 8 (inerente + residuo)
ed eventuale FC FC Proposta di
aggiunta di altri 6 6
Impact
Impact
prioritizzazione dell'action
eventi di rischio. plan, e definizione delle
4 4
relative due date e
FC
2 2 ownership
0 2 4 6 8 10 0 2 4 6 8 10
Likelihood Likelihood
(*) Il rischio inerente, che cosa significa? (**) Il rischio residuo, che cosa significa?
Il rischio che una attività implicherebbe se Il rischio che rimane dopo che tutti i
nessun controllo o altri fattori di presidio controlli e le azioni di mitigazione sono
non fossero in vigore (il rischio lordo o presi in considerazione (il rischio netto o
rischio prima dei controlli). rischio dopo i controlli).
01/07/2019 Titolo documento 9
Sistema Normativo Integrato
Il Sistema Normativo Integrato (SNI) contribuisce a realizzare l’integrazione del SCIGR nei processi aziendali
promuovendo la creazione di un linguaggio comune tra funzioni di controllo e di business con un’unica
tassonomia dei processi. Inoltre consente di ridurre il numero di strumenti normativi e i tempi per le attività di controllo.
Policy Definizione dei principi generali di
regolamentazione di una tematica specifica.
Ispirano tutte le attività svolte dal gruppo.
Rappresentazione
documentale Procedura
realizzata per Aziendale
Risk Definiscono le modalità di gestione dei processi
convalidare Management
end to end e dei relativi rischi in un’ottica di
specifici obblighi compliance integrata, individuano, in particolare, i
verso Enti di ruoli e le responsabilità in capo alle diverse
Certificazione ed funzioni aziendali, le fasi del processo, i flussi
Enti Regolatori informativi e i principi di controllo di riferimento
Manuale
PRO
PRO
PRO RA Definiscono le modalità operative per la gestione
di specifici ambiti/attività. Sono emanate in caso sia
necessario dettagliare operativamente gli alcuni ambiti
della relativa Procedura Aziendale.
Ottimizzazione tempo del controllo e riduzione del numero di documenti
01/07/2019 Titolo documento 10Rischio di non conformità
Rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o
danni di reputazione in conseguenza di violazioni di norme imperative (di legge o di
regolamenti) ovvero di autoregolamentazione (statuti, codici di condotta, codici di
autodisciplina).
• Sanzioni reputazionali (sfiducia dei consumatori),
RISCHIO sanzioni pecuniarie, sanzioni interdittive
STRATEGICO • Il mancato rispetto delle regole, non è solo un fatto
etico, ma mette a rischio il successo economico e
la stessa sopravvivenza sul mercato di un’impresa.
GESTIONE • Organizzare il rispetto delle regole in modo da
DEL RISCHIO ridurre in modo significativo i rischi di non
conformità.
• Organizzare il rispetto delle regole in modo
efficiente dal punto di vista dei costi e dei risultati.
11Per governare un sistema complesso occorre avere una complessità simile o
superiore a tale sistema
Norme internazionali Ruoli e Responsabilità
Leggi nazionali Processi e Procedure
Complessità Complessità
Regolamentazione locale esterna interna Controlli
Standard di Qualità Soluzioni IT
Principi etici Controlli
MIN Rischio di non MAX
conformità
12Gestire la compliance
significa gestire una parte
del sistema organizzativo e
delle variabili di cui esso si
compone.
• Interagire con tutto il sistema aziendale,
di cui è parte integrante
• Non solo regole ma anche competenze,
responsabilità e processi
• Trasportare all’interno dell’azienda le
regole esterne, traducendole in
procedure, processi e valori
• Assicurare l’armonizzazione delle regole,
integrandole nel contesto organizzativo
• Una nuova e ben definita figura
manageriale
13Processo della Compliance
l’insieme delle regole, delle Monitoraggio
procedure, delle risorse
(umane, tecnologiche e
organizzative) e delle Mitigazione
attività di controllo volte a
identificare, misurare o
valutare, monitorare,
prevenire o attenuare
Formazione
nonché comunicare ai livelli
gerarchici appropriati tutti i
rischi assunti o assumibili Valutazione
Identificazione
In una logica integrata
Linee guida
Pianificazione
14Un esempio - Modello 231/01
Gaming
Ciascuna delle Società
ha adottato un proprio
Modello di
Attività Intermediari
Organizzazione e
Produttive Finanziari
Controllo ex D.lgs.
231/01 (MOG).
Ferma restando
Holding
l’autonoma gestione, i
modelli sono stati
elaborati secondo un
approccio coordinato e
coerente con i processi
intercompany IT/Telco Servizi
15Sistema Integrato di Funzioni
DP
O
Compliance
Legal Affair
Per la gestione dei Modelli di
Organizzazione e Controllo, previsti
Quality, Focal
Policies Point dal D. Lgs. 231 del 2001,
& Decreto Lottomatica ha ideato un Sistema
Procedu
res Legislativo Integrato di funzioni che garantisce,
EHS 231/01
Risk
Manage
a ciascun Modello adottato, seppur
&S
ment indipendente, un approccio coerente
e interdisciplinare al presidio 231.
Audit
HR
Lottomatica
La Compliance di Lottomatica si avvale
si avvale del di un Sistemadelle
lavoro interfunzionale Integrato di Funzioni
altre direzioni, per capace
garantiredialla
garantire
società il presidio inl’osservanza
Lottomatica del decreto legislativo 321.
materia 231.
16Sistema Integrato di Funzioni
Compliace & Anti
Legal Affair Risk Management Internal Audit
Money Laundering
• Implementazione dei • Monitoraggio
Modelli 231/01; normativo; • Identificazione,
misurazione, gestione • Coordinamento delle
• Metodologia gestione • Valutazione giuridica e monitoraggio dei Verifiche 231 (dell’OdV);
dei rischi 231; dei progetti strategici; rischi; y • Reportistica per OdV
• Supporto agli OdV; • Tutela legale interessi • Presidio sul processo di sull’avvio e gli esiti dei
aziendali gestione incidenti. propri Audit.
• Corporate Compliance
• Supervisione delle
• Gap Analysis e Controlli litigations.
di 2° livello.
Environment, Quality, Policies &
People &
Health, Safety and Procedures DPO
Transformations
Security
• Coerenza del sistema
• Training;
• Salute sicurezza normativo interno; • Dirigere e supervisionare
• Awarness; le il framework GDPR
• Ambiente • Certificazioni per la
• Sistema Disciplinare; Qualità, l’Ambiente, • DPIA
• Sicurezza Fisica
l’Energia, la Sicurezza
• Aspetti Giuslavoristici
delle informazioni, la
Safety
1
7Sistema integrato di Presidi
Valutazione rilevanza
231 degli eventi
catalogati
Aree a Macro
Associazione delle rischio 231 processi
aree a rischio 231 ai
processi aziendali
Reati Normative
mappati nello SNI
Principi di Matrici di
controllo controllo
18Struttura dei Modelli
• Regole di • Regole e controlli
comportamento generali integrati nelle procedure
• Valutazione di rischio aziendali
aggiornata • Valutazione di rischio
periodicamente continua
• Struttura «statica» • Struttura «dinamica»
Confidential 19Evoluzione dell’ERM verso il Quantitative ERM & RAF
Quantitative ERM (Q-ERM) è un approccio evoluto dell’ Enterprise Risk Management (COSO framework) che
principalmente viene utilizzato nel mondo bancario
Rispetto all’approccio classico dell’ERM, il Q-ERM include:
Q
ERM
ERM • Due step aggiuntivi per la quantificazione dei rischi:
analisi di scenario e distribuzione discreta di probabilità, al fine
di misurare l'impatto economico dei principali rischi identificati
analisi delle correlazioni di tutte le misure di rischio,
indipendentemente dai modelli utilizzati per valutarli
• differenze metodologiche con impatti minori, ma essenziali per
qualificare i suddetti step aggiuntivi (ad esempio analisi delle azioni
specifiche per il raggiungimento degli obiettivi strategici)
• utilizzo dei risultati come input dei modelli stocastici per il Piano
Industriale, chiamato anche Business Plan @ Risk
01/07/2019 Titolo documento 20Governance, Risk Management and Compliance (GRC) Platform 01/07/2019 Titolo documento 21
Puoi anche leggere
