• Membership

    Oltre 30.000 professionisti compongono l’ecosistema di Cetif: favoriamo l’incontro e lo scambio fra banche, assicurazioni e aziende in un Centro accademico, ambiente competente e indipendente, per condividere conoscenze, esperienze e strategie sui più innovativi fattori di cambiamento.

  • Research

    16 Hub di ricerca focalizzati su dinamiche di evoluzione strategica, aggiornamenti normativi, prassi organizzative e di processo, effetti della digitalizzazione: studiamo trend di innovazione e best practice e li condividiamo con le nostre community.

  • Eventi

    Oltre 60 events tra cui Main events (Workshop e Summit) e Community events (collegati alle attività di ricerca) e Webinar: facciamo incontrare banche, assicurazioni e aziende per una crescita condivisa su trend e sfide per delineare strategie di sviluppo innovative.

event

Workshop "Nuovi rischi e Algo Governance: le nuove frontiere del sistema dei controlli" | 2020

I temi dell'evento, raccontati da alcuni dei partecipanti.
A cura di Cetif
06.05.2020
News
A cura di Cetif

L’innovazione all’interno delle Istituzioni Finanziarie sta cambiando profondamente il sistema dei controlli interni; ma che cos’è il “Sistema di controllo interno”? Se andiamo alla definizione di base (Internal Control – Integrate Framework, 1992 CoSo Report) scopriamo che “è un processo, svolto dal consiglio di amministrazione, dai dirigenti e da altri operatori della struttura aziendale, che si prefigge di fornire una ragionevole sicurezza sulla realizzazione degli obiettivi rientranti nelle seguenti categorie: (i) efficacia ed efficienza delle attività operative, (ii) attendibilità delle informazioni di bilancio e (iii) conformità alle leggi e ai regolamenti in vigore”.

In questo “processo aziendale” le tecniche di machine learning e artificial intelligence collegate alle tecnologie big data, cloud e blockchain rappresentano un asset fondamentale per migliorare i processi decisionali, diminuire le perdite, migliorando la redditività e rendendo i controlli più efficace ed efficienti.

All’interno di questa nuova realtà le funzioni aziendali di controllo, specificatamente la gestione del rischio (risk e compliance) e internal audit, potranno trovare nuovi strumenti per la loro attività ma dovranno ripensare ai loro rapporti e quelli con le loro istanze superiori di riferimento.

Tre punti di attenzione per il prossimo futuro: (i) un approccio data driven per le funzioni aziendali di controllo con informazioni anche in real time e dunque il ripensamento del modello organizzativo organizzato sui “tre livelli di controllo”, (ii) la capacità per l’azienda di “governare gli algoritmi” ovvero analizzare i loro risultati emendandoli da eventuali bias cognitivi o da fattori “non etici” e (iii) proporre/partecipare a contesti di collaborazione “precompetitiva” quali le sandbox.

*****

Nell’introduzione ai lavori, Chiara Frigerio, Professore di Organizzazione Aziendale, Segretario Generale CeTIF - Università Cattolica, ha mostrato come le tecnologie di advanced analytics se rimarranno predominanti nei settori di marketing e nella customer relationship management (CRM), troveranno un forte sviluppo anche per applicazioni destinate alle funzioni di risk e compliance e nel campo del planning and commercial development.

L’incremento della complessità normativa e delle sanzioni si riflettono, inevitabilmente, sull’aumento dei costi di compliance. Per mitigare questo scenario la digitalizzazione è un percorso obbligato per “gestire” il sistema dei controlli interni dando alle funzioni di controllo nuovi strumenti per monitorarne la robustezza.

Dopo aver ricordato il contenuto della relazione svolta da Fabio Panetta sull’attività svolta dall’ IVASS nell’anno 2018, “siamo di fronte al non facile compito di “regolare senza imbrigliare”. Intendiamo affrontarlo seguendo due direttrici: confronto continuo e rafforzata cooperazione con le istituzioni coinvolte a livello nazionale e internazionale; dialogo aperto e costruttivo con l’industria”, Chiara Frigerio ha informato che CeTIF ha istituito uno specifico “laboratorio” (RegTech Lab 2020) nel quale sviluppare un progetto di text mining for law detection.

L’obiettivo del progetto, in avvio nel prossimo mese di maggio, è quello di definire un motore analitico per l’analisi testuale della normativa e dei report prodotti dalle istituzioni secondo quanto stabilito dalle disposizioni in essere. Il valore atteso di questo progetto è quello di disporre dell’analisi della normativa al fine di percepire in maniera proattiva e con anticipo eventuali criticità e quindi poter indicare le necessarie contromisure da attuare per far fronte ad eventuali casi di non conformità.

*****

Per Massimo Doria, Vice capo del servizio Rapporti Istituzionali di Vigilanza della Banca d’Italia, le sfide future impongono ai regolatori di “contrastare i rischi delle nuove tecnologie senza minarne i benefici è una sfida per i regolatori e i supervisori europei. Il territorio è inesplorato: la regolamentazione del fintech è ancora agli inizi e varia fra i Paesi. Inoltre, questo territorio cambia con grande rapidità, dato il ritmo dell’innovazione”. In questo contestoal sistema finanziario, istituzioni, intermediari, fornitori di tecnologie, è richiesto di svolgere un ruolo di sostegno essenziale nel cammino che abbiamo davanti, che in molti settori sarà di faticosa ripresa prima ancora che di sviluppo.

Secondo il relatore l’industria dei pagamenti deve essere interpretata come incubatore di innovazione poiché i pagamenti sono immanenti a tutte le relazioni, anche a quelle non finanziarie, hanno carattere trasversale e toccano tutti gli agenti economici; la direttiva (UE) 2015/2366 del 25 novembre 2015, più nota come Direttiva PSD2, ha impresso un forte sviluppo tecnologico, già in atto, facendo evolvere l’industria verso modelli di piattaforma «aperti» e «multicanale» basati sulla logica delle application programming interface  (API). Ovviamente non vanno dimenticate le potenziali criticità legate a questo nuovo modello: ad esempio i rischi informatici quali il furto dell’identità, violazioni sulla riservatezza delle informazioni ed in genere tutte le altre fattispecie legate al cyber crime.

Altro tema da evidenziare in questo nuovo contesto tecnologico è che le piattaforme di open banking sfruttano modelli di artificial intelligence (AI) per creare ecosistemi di servizi che: (i) anticipano (o generano) esigenze del cliente, (ii) sviluppano nuovi business model, (iii) riprofilano il «disegno» dell’offerta secondo logiche di start up adottate anche dagli incumbent e (iv) si basano su una profonda interazione con altri soggetti, fornitori tecnologici e di altri servizi. A queste indubbie positività vanno tuttavia evidenziati potenziali profili di rischio quali ad esempio la trasparenza e ricostruibilità delle decisioni, la corretta allocazione delle responsabilità ed il presidio della “legalità digitale”.

In questo contesto il sistema dei controlli deve incorporare capacità di presidio sostanziale dei rischi dotandosi di metodologie per il controllo della tecnologia con investimenti in strumenti di RegTech mentre per le autorità di regolazione e supervisione dovrebbe valere il principio, ispirato dal Regulatory Obstacles to Financial Innovation Experts Group (ROFIEG), che ‘same activity creating the same risks should be regulated by the same rules’.

*****

Digital transformation e attività di controllo: una nuova frontiera per la Compliance”: il tema, sviluppato da Carlo Appetiti, Chief Compliance Officer di UniCredit, è stato declinato su due   direttrici: semplificazione dei processi con un intenso utilizzo di metodologie di data analytics e artificial intelligence con lo scopo di ottenere efficienza ma, soprattutto, disporre di “capacità predittiva” nell’attività di compliance.

Due gli ambiti per l’evoluzione digitale: per il business e per la compliance. Nel campo del business l’obiettivo è di rendere i processi end to end (e2e), dunque accanto all’efficacia aumentarne l’efficienza ed essere propositivi nelle attività di supporto e verifica, digital advisory e risk assessment. Per la funzione di compliance risultano indispensabili l’automazione dei controlli e del reporting, l’utilizzo di data analytics e artificial intelligence nel campo dell’antiriciclaggio e l’utilizzo di metodologie di machine learning. Per dotarsi di una strumentazione tailor made non ci si può tuttavia affidare al mercato e diviene importante poter sviluppare all’interno del gruppo.

Poiché l’evoluzione digitale è anche questione di competenze la funzione presieduta da Carlo Appetiti sta svolgendo una specifica formazione a 150 colleghi al fine di creare maggiore consapevolezza in tema di data analytics ( Data Analytics Program) coniugata con un uso etico dei dati seguendo gli “Orientamenti etici per una intelligenza artificiale affidabile” proposti nel documento omonimo redatto da un gruppo di esperti indipendenti sull'intelligenza artificiale istituito dalla Commissione europea nel giugno 2018.

*****

In apertura dell’intervento “Algo Governance, rischi e sfide per il sistema dei controlli: una possibile evoluzione del ruolo della ComplianceRoberto Rovere, Chief Compliance Officer di UBI Banca utilizza una definizione di Intelligenza Artificiale, tratta dal documento redatto da Microsoft e  Ernst & Young, utile per comprendere questa tecnologia: “AI can be defined as the ability of a machine to perform cognitive functions which are normally associated with humans.” Proseguendo nella citazione “This includes reasoning, learning, problem solving, and in some cases even exercising human behavior such as creativity”; l’intelligenza artificiale quale complemento delle qualità umane.

In questo contesto che sta favorendo il passaggio dall’utilizzo di algoritmi statici (c.d. «rules based»), ad algoritmi complessi, che si avvalgono di tecnologie di intelligenza artificiale e machine learning per emulare il comportamento e il giudizio umano, si presentano nuove opportunità ma pongono al settore bancario nuovi rischi che devono essere debitamente valutati e gestiti.

In questo scenario il Sistema dei Controlli Interni di UBI Banca dovrà rivisitare sei profili di attenzione: (i) Etica; necessità di garantire l’aderenza delle decisioni prese dagli algoritmi a principi etici fondamentali dell’organizzazione, (ii) Terze parti; Il sempre maggiore coinvolgimento di terze parti nei processi della banca richiede di rafforzare i presidi interni in materia di Third Party Risk Management (TPRM), (iii) Regolamentazione; contesto non ancora completamente regolamentato, con conseguente difficoltà nell’identificare un benchmark di riferimento, (iv) Presidio degli algoritmi; necessità di definire modelli e strumenti in grado di garantire un adeguato presidio degli algoritmi e controllo del loro funzionamento, (v) Audit Trail; l’intensificazione dell’utilizzo di algoritmi in sostituzione dell’uomo pone l’attenzione sulla necessità di garantire un adeguato tracciamento delle decisioni assunte nel corso dell’esecuzione dei processi e (vi) Timing dei controlli; necessità di rivedere le tempistiche e le modalità di esecuzione dei controlli, intensificando le attività ex-ante.

In questo contesto, quale ruolo dovrebbe avere la Funzione Compliance? Secondo Roberto Rovere è necessario passare dalla «Compliance for Digital» a «Digital for Compliance and RegTech challenges» e dunque “supportando la Banca nella definizione e nel monitoraggio di un solido approccio alle nuove tecnologie e alla digitalizzazione e ripensando il modello operativo adottando nuove tecnologie per essere più efficiente ed efficace”.

*****

Nell’attività di prevenzione e gestione dei rischi aziendali, secondo Ettore Carneade, responsabile della direzione Compliance di Banca Monte dei Paschi, “il Compliance Officer, nell'era della digital transformation, adotta un approccio innovativo, rivestendo quindi un ruolo strategico per la Banca.

La sua attività di indirizzo e di presidio si ispira ai principi «Citius, Altius, Fortius»; e dunque Citius: oggi la Compliance monitora la normativa (disposizioni di vigilanza, leggi, guidelines, orientamenti delle varie autorità) che è emanata/modificata con un ritmo sempre più incalzante; Altius: il Compliance Officer è sempre più spesso ingaggiato dagli Organi apicali della Banca (CdA, Comitato Rischi, Collegio Sindacale) nonché dalle Autorità di Vigilanza (Banca d’Italia, Consob ed i Joint Supervisory Teams) ed infine Fortius: le Autorità oramai comminano sanzioni sempre più elevate. Ad esempio, le sanzioni previste dal art.83 del Regolamento generale sulla protezione dei dati (GDPR) oscillano tra il 2% e il 4% del fatturato.

L’evoluzione della funzione di Compliance nel gruppo Monte Paschi ha visto: accrescere il numero delle risorse, l’ampliamento del perimetro e lo sviluppo un framework metodologico con il fine di pervenire ad una puntuale valutazione dello stato di conformità dell’Istituto monitorando nel continuo la normativa, l’accesso diretto ai dati per l’effettuazione dei controlli di conformità e la produzione di rapporti sull’avanzamento delle iniziative in corso. Relativamente all’accesso ai dati la funzione di Compliance ha sviluppato un tool di business intelligence che permette, attraverso l’accesso tempestivo ai dati: (i)autonomia nella costruzione dei controlli, (ii) l’accesso tempestivo alle informazioni, (iii)l’elaborazione di dati attendibili, (iv)l’ampliamento del perimetro a tutte le Legal Entity di gruppo e (v)la costruzione della reportistica direzionale.

L’ampio perimetro delle attività e dei dati da utilizzare ha inoltre indirizzato la funzione a dotarsi di una strumentazione di Robotic Process Automation da utilizzare in particolar modo in fase di data collection, nonché in fase di esecuzione dei controlli di secondo livello in ambito di Anti Money Laundering (AML). Altro tema di estrema importanza e non solo per la funzione di Compliance è quello di monitorare l’evolversi della normativa che impatta sull’industria bancaria; a tale scopo l’istituto ha in corso la realizzazione di una “biblioteca normativa”; un database con tutta la normativa di interesse, organizzato in base alle necessità di visualizzazione dell’utente in modo tale che sarà possibile confrontare il contenuto normativo di un singolo paragrafo in più lingue navigando in modo interattivo i rimandi normativi esistenti all’interno di tutti i documenti regolamentari di interesse. Inoltre, il database normativo potrà essere implementato sulla base delle esigenze della Compliance indicando alla macchina l’elenco di siti istituzionali da prendere come riferimento.

*****

Sarebbe pensabile esercitare il controllo senza l’utilizzo degli algoritmi ? A questa domanda la risposta data da Valerio Cencig, responsabile Compliance Digital Data Transformation del gruppo Intesa SanPaolo è ovviamente negativa.

Prodotti innovativi o ripensati alla luce della diffusa tecnologia digitale impongono l’uso di modelli organizzativi nei quali le capacità computazionali e l’utilizzo degli algoritmi risultano essenziali e dunque (i) sono pervasivi e sempre più necessari; i Processi decisionali sono sempre più algo/data driven. In contesti caratterizzati da elevata intensità di dati (come l’anti financial crime, il market abuse, il trade surveillance) sarebbe impensabile esercitare il controllo senza algoritmi. (ii) Sono sempre più complessi a causa della diffusione di nuove classi di algoritmi non deterministici ma data driven (Machine Learning e Deep Learning), per loro natura non programmati esplicitamente e destinate ad evolvere, ibridarsi e crescere in complessità.

Se il pervasivo utilizzo degli algoritmi rende i processi più efficienti è di tutta evidenza che devono essere governati per mitigare i rischi del loro utilizzo quali, ad esempio, quelli relativi alla trasparenza accuratezza ed affidabilità. Non possono inoltre ledere i diritti della clientela in tema di riservatezza e gestione dei loro dati; devono garantire robustezza in tema di cyber security e responsabilità (accountability). All’interno dell’industria bancaria la algo governance dovrà trovare supporto in diffuse competenze e trasparenza nei rapporti con i fornitori degli stessi.

Su questo ultimo tema la proposta di Valerio Cencig è quella di lavorare in diverse direzioni, anche a livello di Sistema per sviluppare metodologie ed implementare processi quali: (i) la presenza di Standard industriali e Regulatory e Linee Guida, (ii) requisiti di auditabilita e check list di controllo (Quality Assurance), (iii) metodologie per analisi di impatto ex ante e performance monitoring ex post, (iv) creazione di Algo Repository, (v) istituzione di comitati interni di approvazione e team indipendenti di validazione, (vi) sviluppare processi di testing e continuous backtesting.

*****

Per Elena Bellizzi, responsabile del Servizio Vigilanza condotta di mercato dell’Istituto per la Vigilanza sulle Assicurazioni (IVASS) e per Claudio Vergati, componente dello stesso Servizio, l’utilizzo in ambito finanziario degli algoritmi Machine Learning (e più in generale dell’Intelligenza Artificiale) va guardato senza pregiudizi per i benefici che può portare all’intero mercato, ma impone anche una rimodulazione dei presidi di governance/controllo interno che tengano conto dei rischi emergenti e una evoluzione tecnologica anche dei meccanismi di supervisione delle Autorità di vigilanza.

Il punto di vista dell’IVASS in tema di Algo-governance parte dal fatto che la continua evoluzione tecnologica in ambito finanziario (FinTech) e assicurativo (InsurTech) comporta la necessità anche da  parte delle Autorità di Vigilanza di dotarsi di strumenti e competenze adeguate per consentire il monitoraggio e controllo del mercato. Nello specifico l’Istituto ha in corso diverse iniziative in tema di SupTech quali la (i) Text Analysis per semplificazione contratti, (ii) Sentiment Analysis della reputazione nel Web, (iii) Governance degli algoritmi di Machine Learning e (iv) analisi dei prodotti che utilizzano tecnologie Blockchain.

Sempre secondo Elena Bellizzi l’industria assicurativa sta trovando numerosi benefici dall’utilizzo delle “nuove tecnologie” e gli algoritmi di machine learning abilitano nuove opportunità per le  Compagnie e consumatori creando nuovi modelli di business contenendo i costi per l’automazione dei processi e potenziando la ricerca delle frodi. L’analisi dei dati permette inoltre di realizzare prodotti tailor made ed includere soggetti considerati in precedenza a rischio.

Accanto a queste opportunità corre l’obbligo per l’Istituto di Vigilanza di evidenziare nuovi rischi quali la potenzialità di (i) una discriminazione algoritmica basata su processi decisionali interamente automatizzati (es. pricing differenziato per il medesimo servizio, fallace valutazione della e-reputation), (ii) l’opacità degli algoritmi utilizzati (c.d. blackbox), (iii) una over confidence (sovrastima) della conoscenza di strumenti assicurativi da parte del consumatore nella profilatura on line automatizzata con conseguente sotto o sovra-assicurazione, (iv) errori e parzialità nei risultati dovuti alla scarsa qualità dei dati e/o procedure alla base dei processi decisionali, (iv) responsabilità nelle controversie (es. in caso di outsourcing).

Se gli obiettivi della Vigilanza comprendono la tutela dei consumatori gli algoritmi devono essere, trasparenti e comprensibili ottenendo inoltre equilibrio tra gli strumenti decisionali automatizzati e l’intervento umano. Per ottenere questo risultato le Compagnie dovranno dimostrare capacità di algo governance, di gestione dei dati, dell’adeguatezza degli algoritmi utilizzati, il loro censimento e quello dei dati alimentanti; in bilanciamento di questi profili dovranno essere attivate attività di auditing.

*****

Nell’introduzione alla propria presentazione “Conduct and Retail Risk”, Attilio d’Amico, responsabile Compliance di Allianz, riporta un recente (20 febbraio 2020) intervento del Segretario Generale dell’IVASS, Stefano De Polis, in tema di Product Oversight and Governance (POG) ove si afferma che “Si tratta di processi nuovi, non facili per le imprese, che l’IVASS intende accompagnare verso l’adesione sostanziale ai principi di una buona distribuzione assicurativa. È indispensabile uno sforzo delle compagnie per portare a termine il cambio di prospettiva richiesto dalla direttiva (UE) n. 2016/97 (Insurance Distribution Directive -c.d. IDD) che consiste nel mettersi nei panni, nell’indossare gli occhiali del consumatore”.

Per ottemperare alle disposizioni in tema di IDD Allianz, nel giugno del 2018, ha definito uno standard per la valutazione dei prodotti: un assessment per i nuovi ed una rivisitazione di quelli a catalogo aperti alla vendita. La caratteristica dello standard si  basa sul principio (i) della customer value ovvero “We seek an appropriate balance of value for customers, distributors and manufacturers, while meeting our customers’ real insurance needs”, (ii) richiede un piano di azione in caso l’assessment rilevi delle aree di criticità, (iii) definisce uno schema di valutazione (Retail Risk Metrics) bilanciato tra valutazioni di mercato (benchmarking consideration) e aspirazioni strategiche di “True Customer Centricity”. Alla funzione di Compliance è affidato la responsabilità del monitoraggio e dell’applicazione dello standard.

Altro tema importante per la funzione di Compliance in Allianz Italia è la verifica della rete distributiva. Sono stati definiti trenta indicatori di rischio (key risk indicator) che, gestiti tramite uno specifico tool informatico, sono finalizzati al monitoraggio “a distanza” e “nel continuo” dei comportamenti degli intermediari che necessitano approfondimento o verifica “in loco”; la lettura degli indicatori consente altresì la segmentazione della rete per profili di rischio e la pianificazione degli interventi. Per la realizzazione degli strumenti di analisi la filosofia di Allianz è quella della progettazione “interna” e la realizzazione in outsourcing.

*****

Per Silvia Ciceri, Chief Compliance Officer del Gruppo Assicurativo AXA Italia, la funzione di Compliance deve coniugare un approccio soggettivo con uno oggettivo poiché l’ampliamento del quadro normativo di riferimento richiede un crescente impegno per il monitoraggio delle evoluzioni regolamentari ed i conseguenti controlli di conformità sui processi e sistemi.

Una Compliance data driven, dunque maggiormente oggettiva, può e deve essere realizzata per l’attuale possibilità di processare notevoli quantità di dati e costruire informazioni utili per lo sviluppo e rafforzamento del Sistema dei Controlli Interni dell’azienda. L’approccio «compliance data driven» consente alla funzione Compliance una lettura tempestiva ed oggettiva di eventuali segnali di non conformità, permettendo di beneficiare degli investimenti in ambito «data» anche come leva strategica per il rafforzamento dei sistemi di controllo.

Lo sviluppo della funzione di Conformità in AXA ha visto lo sviluppo di specifici key compliance indicators (KCIs) fondamentali per l’osservazione dei fenomeni posti sotto controllo. Dalle analisi di rischio, ad esempio, basate sulle interviste ai process owner, ai campionamenti di dati con tecniche semplificate si dovrà passare ad una situazione di predictive analysis dei dati di tipo “near real-time” per la mitigazione del rischio di non conformità.

In questo percorso per la realizzazione di un continuous monitoring è fondamentale, secondo Silvia Ciceri, prestare attenzione alla definizione di congrue soglie di alert in linea con il trend fisiologico dei fenomeni osservati e impostando almeno due livelli di soglia (Level I e Level II) per ciascun indicatore calcolato individuando degli intervalli di confidenza costruiti secondo delle serie storiche di dati.

Lo sviluppo di una compliance data driven è una progettualità articolata che richiede tuttavia un percorso pluriennale ed i benefici attesi vanno valorizzati per ottenere il giusto commitment e gli investimenti necessari; la presenza di basi dati aggiornate e con requisiti di data quality è condizione essenziale per operare l’evoluzione. Infine, l’evoluzione normativa comporterà una continua evoluzione nel numero dei nuovi KCIs e di quelli già individuati ed impostati, ma i nuovi skill acquisiti dai Compliance Specialist saranno cruciali per gestire ogni cambiamento.