Nel dominio della gestione integrata dei rischi di criminalità finanziaria, un controllo non può essere valutato esclusivamente sulla base della sua esistenza formale. Una regola di policy interna, un controllo di sistema, un obbligo di escalation, un principio del doppio controllo, uno scenario di monitoraggio delle transazioni, una verifica di accettazione del cliente o una revisione periodica acquisiscono reale significato soltanto quando può essere accertato che tale misura contribuisca, nella concreta realtà operativa dell’organizzazione, alla gestione del rischio di criminalità finanziaria rilevante. Ciò richiede una distinzione netta tra presenza amministrativa e funzionamento sostanziale. Molte organizzazioni dispongono di framework di controllo estesi, manuali procedurali, matrici rischi-controlli, report di sistema e audit trail, ma non sempre sono in grado, quando sottoposte a un esame critico, di dimostrare in modo convincente che il controllo riduca effettivamente il rischio previsto, che sia applicato in modo coerente, che le deviazioni siano identificate tempestivamente, che i rilievi conducano a un seguito adeguato e che gli elementi probatori generati siano sufficientemente robusti da resistere al vaglio del consiglio di amministrazione, dell’autorità di vigilanza, del revisore esterno, dell’internal audit o di un reviewer indipendente. Nell’ambito della gestione integrata dei rischi di criminalità finanziaria, la domanda centrale si sposta quindi da “esiste un controllo?” a “questo controllo funziona in modo dimostrabile, proporzionato, coerente e difendibile nel contesto di rischio specifico dell’organizzazione?”
Questo spostamento è fondamentale. I rischi di criminalità finanziaria non si manifestano in documenti di policy astratti, ma nei rapporti con i clienti, nei flussi transazionali, nelle strutture di prodotto, nei canali di distribuzione, nei rischi legati alle sanzioni, nei pattern anomali, nei problemi di qualità dei dati, nelle interfacce di sistema, nei processi esternalizzati, nella pressione operativa e nel processo decisionale umano. Un controllo che appare solido sulla carta può fallire in tale realtà perché i dati sono incompleti, gli alert sono prioritizzati in modo errato, le responsabilità non sono attribuite con sufficiente chiarezza, le eccezioni non sono oggetto di escalation tempestiva, il monitoraggio è configurato in modo troppo generico o gli elementi probatori non sono sufficientemente tracciabili. Il funzionamento dimostrabile richiede quindi una disciplina nella quale i controlli siano testati in termini di efficacia, fattibilità operativa, forza probatoria, proporzionalità, funzionamento lungo l’intera catena e resilienza sotto pressione. La gestione integrata dei rischi di criminalità finanziaria non richiede un’accumulazione di controlli fine a sé stessa, ma un insieme documentato e motivato di misure che riduca visibilmente il rischio rilevante, resti praticabile per il business e sia difendibile sotto il profilo giuridico, operativo e di audit.
Valutare i controlli in base a efficacia, fattibilità operativa e forza probatoria
Un controllo efficace deve fare più che coprire un obbligo formale. Deve incidere in modo dimostrabile sul rischio per il quale è stato progettato. Nella gestione dei rischi di criminalità finanziaria, ciò significa che il controllo deve avere una relazione identificabile con il rischio di riciclaggio, finanziamento del terrorismo, violazione di sanzioni, corruzione, frode, rischi di integrità fiscale o altre forme di criminalità finanziaria ed economica. Tale relazione deve essere concreta. Un controllo di adeguata verifica della clientela, ad esempio, deve contribuire a un’identificazione affidabile del cliente, alla comprensione dei titolari effettivi ultimi, alla determinazione dello scopo e della natura prevista del rapporto e al riconoscimento di indicatori di rischio elevato. Un controllo di monitoraggio delle transazioni deve essere in grado di rilevare, prioritizzare e sottoporre a valutazione le deviazioni rilevanti. Un controllo di screening delle sanzioni deve, sulla base di dati aggiornati, completi e correttamente calibrati, consentire una rilevazione tempestiva e un seguito adeguato. In assenza di tale collegamento sostanziale tra rischio, attività di controllo, esito e follow-up, il controllo resta esposto alla critica di funzionare soltanto come esercizio procedurale.
La fattibilità operativa costituisce, a tale riguardo, un criterio di valutazione autonomo. Un controllo può essere concettualmente logico, ma fallire comunque se non si adatta alla realtà operativa nella quale deve essere applicato. Ciò riguarda, ad esempio, controlli che richiedono troppi passaggi manuali, dipendono da fonti dati frammentate, contengono criteri decisionali poco chiari, non sono sufficientemente integrati nei workflow o impongono un onere amministrativo tale da indurre i collaboratori ad adottare comportamenti meramente formali di spunta. Nella gestione integrata dei rischi di criminalità finanziaria, la fattibilità operativa non deve essere considerata una concessione alla compliance, ma una condizione per una gestione sostenibile del rischio. Un controllo che non sia comprensibile, applicabile e proporzionato per le funzioni interessate di prima linea, seconda linea e supporto sarà, nella pratica, eseguito in modo irregolare, interpretato diversamente o documentato in maniera insufficiente. Ne deriva il rischio che venga presentata una conformità formale mentre il valore protettivo effettivo rimane limitato.
La forza probatoria segna la differenza tra convinzione interna e difendibilità esterna. Quando un’organizzazione afferma che un controllo funziona, tale affermazione deve poter essere supportata da elementi probatori coerenti, affidabili e tracciabili. Tali elementi devono mostrare che cosa è stato controllato, quando il controllo è stato eseguito, da chi, sulla base di quali dati, con quale esito, quali eccezioni sono state identificate, quali escalation hanno avuto luogo e quale follow-up è stato effettuato. Nei dossier relativi alla criminalità finanziaria, questa forza probatoria è particolarmente importante, poiché le autorità di vigilanza e gli auditor non esaminano soltanto l’esistenza delle policy, ma anche il funzionamento dimostrabile dei processi nel tempo. Un controllo eseguito ma insufficientemente documentato rimane vulnerabile. Un controllo per il quale esiste documentazione, ma che non consente di comprendere le valutazioni sostanziali, rimane ugualmente vulnerabile. Efficacia, fattibilità operativa e forza probatoria devono quindi essere valutate simultaneamente, poiché un controllo è convincente solo quando affronta il rischio, funziona nella pratica e rimane verificabile a posteriori.
Non limitarsi all’efficacia del disegno, ma esaminare anche l’efficacia operativa
L’efficacia del disegno riguarda la questione se un controllo, così come progettato, sia idoneo a gestire il rischio previsto. Questa domanda resta indispensabile. Un controllo progettato in modo carente può essere eseguito con grande rigore operativo, ma non attenuerà adeguatamente il rischio se la frequenza del controllo è scelta in modo errato, se il perimetro è troppo limitato, se i criteri di rischio non sono sufficientemente precisi, se le fonti dati utilizzate sono incomplete o se le soglie di escalation non sono allineate alla propensione al rischio dell’organizzazione. Nell’ambito della gestione integrata dei rischi di criminalità finanziaria, l’efficacia del disegno deve quindi essere valutata alla luce delle specifiche tipologie di rischio, della natura del portafoglio clienti, dei prodotti e servizi, dell’esposizione geografica, dei canali di distribuzione, dei flussi transazionali e del grado di dipendenza dell’organizzazione da sistemi, terzi o giudizio manuale. Un disegno di controllo adottato genericamente da una policy, da un modello o da uno standard di gruppo, senza allineamento al reale contesto di rischio, offre un livello di assurance insufficiente.
L’efficacia operativa va oltre e interroga la capacità del controllo di funzionare nella pratica come previsto. Questo criterio esamina l’esecuzione effettiva. Il controllo viene eseguito nei tempi previsti? Tutte le popolazioni rilevanti sono coperte? Le eccezioni sono identificate correttamente? Gli alert sono valutati nel merito o chiusi principalmente su base amministrativa? Le escalation sono seguite entro le tempistiche concordate? I collaboratori sono sufficientemente formati per applicare il controllo? Il controllo viene eseguito anche quando i volumi aumentano, le scadenze si avvicinano, i sistemi rallentano o la pressione commerciale si intensifica? Queste domande sono spesso più rivelatrici del disegno del controllo stesso. Un controllo può essere perfettamente progettato, ma risultare strutturalmente indebolito nell’esecuzione da vincoli di capacità, istruzioni poco chiare, scarsa qualità dei dati, informazioni gestionali inadeguate o una cultura nella quale le eccezioni vengono accettate troppo rapidamente.
La forza di un controllo dal funzionamento dimostrabile risiede nella coerenza tra disegno ed esecuzione. L’efficacia del disegno senza efficacia operativa produce una gestione del rischio teorica. L’efficacia operativa senza un disegno solido produce attività ben eseguite, ma potenzialmente non pertinenti. La gestione integrata dei rischi di criminalità finanziaria richiede pertanto una valutazione integrata nella quale il controllo sia seguito dalla definizione del rischio al disegno, dal disegno all’esecuzione, dall’esecuzione agli elementi probatori e dagli elementi probatori al miglioramento. Occorre inoltre stabilire se i risultati dei controlli siano effettivamente utilizzati per il processo decisionale. Quando i rilievi derivanti da revisioni della clientela, monitoraggio delle transazioni, screening sanzionatorio, rilevazione di frodi o due diligence sui terzi non conducono ad adeguamenti dei punteggi di rischio, delle escalation, delle misure nei confronti del cliente, delle impostazioni di sistema o delle scelte di policy, il valore operativo rimane limitato. Un controllo funziona in modo convincente solo quando disegno, esecuzione, registrazione e follow-up si collocano dimostrabilmente in continuità tra loro.
Verificare se i controlli attenuano effettivamente il rischio rilevante
La verifica dell’attenuazione del rischio richiede, in primo luogo, una determinazione precisa del rischio che il controllo è destinato a gestire. Nella pratica, tale precisione spesso manca. I controlli vengono allora collegati a categorie di rischio ampie, come “AML”, “sanzioni”, “frode” o “ABC”, senza chiarezza su quale specifica minaccia, vulnerabilità o driver di rischio venga affrontato. Ciò rende difficile valutare se il controllo abbia effettivamente un impatto. Una revisione periodica della clientela, ad esempio, può avere lo scopo di aggiornare informazioni cliente obsolete, identificare fattori di rischio elevato, contestualizzare transazioni anomale o rivalutare l’adeguatezza del rapporto con il cliente. Ciascun obiettivo richiede criteri diversi, elementi probatori diversi ed esiti diversi. Un controllo che non sia collegato a uno scenario di rischio chiaramente definito è difficilmente verificabile in modo convincente.
L’attenuazione effettiva richiede poi una comprensione del funzionamento del controllo rispetto al rischio. Ciò significa che deve essere accertato non solo che un’attività di controllo abbia avuto luogo, ma anche se il controllo incida sul profilo di rischio. Il controllo ha condotto alla rilevazione di deviazioni rilevanti? Clienti, transazioni o terzi ad alto rischio sono stati effettivamente identificati? I falsi positivi e i falsi negativi sono stati analizzati? È stato stabilito se il controllo operi in modo troppo ampio, troppo ristretto, troppo tardivo o troppo superficiale? Il controllo viene adattato sulla base di tipologie, incidenti, rilievi regolamentari, risultati dell’internal audit o schemi di minaccia in evoluzione? Nella gestione integrata dei rischi di criminalità finanziaria, la valutazione dell’attenuazione del rischio non deve quindi fermarsi alla conformità del processo; deve mostrare se il controllo riduca effettivamente la probabilità o l’impatto dei rischi di criminalità finanziaria.
Un elemento importante consiste nel distinguere l’attività dall’effetto. Numeri elevati di revisioni clienti completate, alert chiusi, screening effettuati o checklist finalizzate possono dare l’impressione di una gestione intensiva, ma dicono poco se non è chiaro che i rischi rilevanti siano stati rilevati e seguiti. Un controllo può generare una produzione significativa senza una riduzione sostanziale del rischio. Al contrario, un controllo mirato con precisione, pur con un volume amministrativo limitato, può contribuire in misura rilevante alla gestione del rischio quando affronta i punti critici. Il test deve quindi concentrarsi sulla domanda se il controllo fornisca un contributo dimostrabile alla prevenzione, alla rilevazione, all’escalation, al processo decisionale o alla remediation. Solo quando tale contributo può essere documentato nasce una base credibile per affermare che il controllo attenua effettivamente il rischio rilevante.
Identificare i controlli formalmente presenti ma sostanzialmente carenti
Una delle vulnerabilità più persistenti nella gestione dei rischi di criminalità finanziaria risiede nell’esistenza di controlli formalmente presenti, ma sostanzialmente carenti. Questa situazione si sviluppa spesso gradualmente. Un controllo viene introdotto in risposta a una normativa, a un rilievo di audit, a un incidente o a uno standard di gruppo, ma successivamente non viene mantenuto in modo sufficiente. L’organizzazione evolve, i prodotti si sviluppano, i comportamenti dei clienti cambiano, i sistemi vengono modificati, i dati si disperdono tra più fonti e le tipologie di minaccia si trasformano. Il controllo, tuttavia, rimane sulla carta ed è incluso nei report come se continuasse a essere efficace. Ne deriva una forma pericolosa di apparente controllo. Il dispositivo di controllo appare completo, mentre la protezione effettiva contro i rischi di criminalità finanziaria resta indietro.
Le carenze sostanziali possono assumere forme diverse. Un controllo può intervenire troppo tardi nel processo, con la conseguenza che i rischi vengono identificati solo dopo l’avvio del rapporto con il cliente o dopo l’esecuzione delle transazioni. Un controllo può dipendere da dati incompleti, obsoleti o incoerenti. Un controllo può riguardare soltanto la valutazione iniziale, mentre rischi rilevanti emergono durante il ciclo di vita del rapporto con il cliente. Un controllo può essere formalmente obbligatorio, ma nella pratica eseguito da collaboratori privi di competenze o mandato sufficienti. Un controllo può generare eccezioni senza imporre un follow-up robusto. Un controllo può inoltre essere formulato in modo talmente ampio da rendere la sua applicazione dipendente dall’interpretazione individuale, creando incoerenze tra team, Paesi, linee di business o entità.
L’identificazione di tali carenze richiede test critici che vadano oltre la revisione documentale. Occorre esaminare dossier, log di sistema, test a campione, informazioni gestionali, cronologia delle escalation, note decisionali, data lineage, incidenti, eccezioni, reclami, rilievi di audit e comunicazioni con le autorità di vigilanza. Solo allora diventa visibile se il controllo faccia effettivamente, nella pratica, ciò che dichiara di fare. La gestione integrata dei rischi di criminalità finanziaria richiede la disponibilità a non proteggere i controlli soltanto perché storicamente fanno parte del dispositivo, ma a valutarli in base alla loro pertinenza attuale e al loro contributo reale. Quando la presenza formale non è sostenuta da un funzionamento sostanziale, la conclusione deve essere chiara: il controllo deve essere riprogettato, rafforzato, sostituito o eliminato. Un controllo che produce principalmente assurance amministrativa può distogliere l’organizzazione dai rischi che richiedono realmente attenzione.
Valutare il funzionamento dei controlli attraverso processi, sistemi e catene
I rischi di criminalità finanziaria raramente si muovono entro i confini di un singolo processo, dipartimento o sistema. Accettazione del cliente, revisione della clientela, monitoraggio delle transazioni, screening sanzionatorio, rilevazione delle frodi, approvazione dei prodotti, elaborazione dei pagamenti, gestione dei terzi, integrità fiscale, revisione legale, monitoraggio della compliance e assurance di audit costituiscono insieme una catena di controllo. Quando i controlli vengono valutati separatamente, può emergere un’immagine distorta. Ogni controllo può funzionare ragionevolmente bene all’interno del proprio processo, mentre l’insieme del dispositivo resta insufficiente a causa di problemi di passaggio di consegne, difetti nella qualità dei dati, uso incoerente dei punteggi di rischio, assenza di feedback loop o escalation inadeguata tra funzioni. La gestione integrata dei rischi di criminalità finanziaria richiede quindi una valutazione del funzionamento dei controlli attraverso processi, sistemi e catene.
Questa prospettiva di catena rivela i punti in cui le informazioni di rischio si perdono o vengono utilizzate in modo insufficiente. Un rischio elevato di integrità del cliente identificato durante l’onboarding deve, ad esempio, riflettersi nell’intensità del monitoraggio, nella frequenza delle revisioni, nella prioritizzazione degli alert e nelle informazioni gestionali. Un alert sanzionatorio gestito può essere rilevante per la valutazione più ampia del cliente o del rischio a livello di gruppo. Uno schema di frode identificato nell’attività di pagamento può giustificare adeguamenti della segmentazione della clientela, delle condizioni di prodotto o degli scenari di monitoraggio delle transazioni. Un rilievo di audit relativo alla qualità dei dati può incidere su più controlli che si basano sulle medesime fonti dati. Quando tali connessioni sono assenti, i controlli restano misure isolate. Possono funzionare nel proprio ambito, ma non contribuiscono in misura sufficiente a una gestione coerente dei rischi di criminalità finanziaria.
La valutazione del funzionamento lungo l’intera catena richiede particolare attenzione all’integrazione dei sistemi, alle definizioni dei dati, alla titolarità dei controlli, ai punti di passaggio, ai criteri di escalation, ai diritti decisionali e agli elementi probatori che coprono l’intero ciclo di vita del rischio. Occorre stabilire se l’organizzazione sia in grado di ricostruire il modo in cui un segnale di rischio è emerso, quali sistemi sono stati coinvolti, quali collaboratori o funzioni hanno effettuato la valutazione, quali decisioni sono state prese, quali deviazioni sono state accettate e quale follow-up è stato eseguito. Quando tale ricostruzione non è possibile, manca la tracciabilità. Quando i segnali non sono condivisi tra processi, manca la coerenza. Quando i controlli dipendono da sistemi che utilizzano definizioni o standard di qualità dei dati differenti, emerge una vulnerabilità strutturale. I controlli dal funzionamento dimostrabile richiedono quindi non solo misure individuali solide, ma anche una catena nella quale le informazioni di rischio circolino in modo affidabile, le decisioni siano prese in modo coerente e il dossier probatorio resista all’esame nel suo complesso.
Attenzione alla proporzionalità tra onere di controllo e riduzione del rischio
La proporzionalità costituisce un criterio essenziale nella valutazione dei controlli nell’ambito della gestione integrata dei rischi di criminalità finanziaria, poiché la gestione del rischio non può mai essere separata dal contesto operativo, commerciale e organizzativo in cui deve funzionare. Un controllo che, in teoria, mira al massimo livello di assurance può, nella pratica, creare oneri sproporzionati senza che la riduzione aggiuntiva del rischio aumenti in misura corrispondente. Tale rischio è particolarmente visibile nella gestione dei rischi di criminalità finanziaria. In risposta alla pressione delle autorità di vigilanza, a incidenti, a rilievi di audit o all’evoluzione della normativa, le organizzazioni sviluppano spesso il riflesso di estendere i controlli, aumentare la frequenza delle revisioni, aggiungere livelli di approvazione, rafforzare i requisiti documentali o restringere ulteriormente le eccezioni. Sebbene tali misure possano, a prima vista, apparire prudenti, esse possono condurre a un ambiente di controllo nel quale la capacità disponibile viene assorbita da attività che presentano un valore limitato in termini di rischio, mentre minacce significative non ricevono l’attenzione necessaria. La proporzionalità richiede quindi una valutazione pragmatica, giuridicamente difendibile e fondata sul rischio: quale onere di controllo è giustificato alla luce della natura, dell’ampiezza, della probabilità e dell’impatto del rischio di criminalità finanziaria interessato?
Questa valutazione richiede più di un generico riferimento a un approccio basato sul rischio. Un’organizzazione deve poter spiegare perché un determinato livello di intensità del controllo sia appropriato per uno specifico gruppo di clienti, una linea di prodotti, una giurisdizione, un flusso transazionale, un modello distributivo o una terza parte. Una due diligence rafforzata relativa a una struttura societaria internazionale complessa, caratterizzata da assetti proprietari opachi, richiede una profondità diversa da quella necessaria per la revisione periodica di un rapporto con un cliente privato a basso rischio. Il filtraggio delle sanzioni su flussi di pagamento esposti a Paesi ad alto rischio richiede sensibilità diverse rispetto al filtraggio di una base statica di fornitori con limitata dispersione geografica. Un controllo di rilevazione delle frodi su transazioni digitali in tempo reale deve essere configurato diversamente da una riconciliazione periodica basata su dati disponibili solo ex post. La proporzionalità non significa quindi meno controllo, ma controllo meglio mirato. La questione non è quale quantità di sforzi possa essere resa visibile, ma quali sforzi contribuiscano in modo dimostrabile a una migliore gestione del rischio.
Al tempo stesso, la proporzionalità deve essere valutata anche sotto il profilo della fattibilità e degli effetti comportamentali. Un onere di controllo eccessivo può indurre i collaboratori a eseguire i controlli in modo meccanico, a chiudere più rapidamente gli alert, a standardizzare la documentazione senza un’analisi sostanziale, a evitare le escalation o ad accettare le eccezioni in modo routinario al fine di limitare gli arretrati operativi. In tal modo, un controllo destinato a rafforzare l’assurance può, in realtà, contribuire a una perdita di capacità critica. La gestione integrata dei rischi di criminalità finanziaria richiede quindi una valutazione periodica del rapporto tra onere di controllo e riduzione del rischio. Tale valutazione deve tenere conto dei tempi di lavorazione, della capacità disponibile, dei tassi di errore, della qualità degli alert, dei rapporti di escalation, della qualità dei dossier, dell’impatto sul cliente, delle rilavorazioni, delle eccezioni, nonché dei rilievi derivanti dal monitoraggio e dall’assurance. Un controllo proporzionato non è il controllo più leggero, ma quello per il quale può essere dimostrato che l’onere, la profondità, la frequenza e la complessità sono ragionevolmente proporzionati al rischio gestito.
Integrare misurabilità, documentazione e tracciabilità
La misurabilità è necessaria per evitare che il funzionamento dei controlli resti dipendente da impressioni, ipotesi o dichiarazioni generali del management. Nell’ambito della gestione integrata dei rischi di criminalità finanziaria, un controllo deve essere concepito in modo da consentire l’accertamento delle sue performance, deviazioni, risultanze e tendenze. Ciò presuppone criteri predefiniti: quale popolazione rientra nel perimetro del controllo, quale azione deve essere eseguita, quali requisiti di qualità si applicano, quali scadenze sono rilevanti, quali eccezioni sono consentite, quali escalation devono seguire e quali risultati indicano un funzionamento efficace. In assenza di criteri misurabili, resta difficile determinare se un controllo sia eseguito in modo coerente e se contribuisca alla gestione del rischio interessato. Un controllo che non è misurabile può, al massimo, essere descritto; non può essere valutato in modo convincente.
La documentazione diventa poi il supporto di questa misurabilità. Nella gestione dei rischi di criminalità finanziaria, la documentazione non è una semplice registrazione amministrativa, ma una componente essenziale del controllo stesso. La documentazione deve mostrare quali dati sono stati utilizzati, quali analisi sono state svolte, quali segnali di allarme sono stati valutati, quali deviazioni sono state identificate, quali considerazioni hanno fondato una decisione e quale seguito è stato dato. Nei dossier di integrità del cliente, ciò significa, ad esempio, che la giustificazione della classificazione del rischio, della valutazione dei beneficiari effettivi ultimi, dell’analisi dell’origine dei fondi, della valutazione dell’origine del patrimonio, della gestione di un alert sanzionatorio o del chiarimento di una transazione deve essere chiaramente registrata. In materia di monitoraggio delle transazioni, ciò significa che la chiusura di un alert non può consistere in formule standard generiche, ma deve fornire un chiarimento sufficiente sulle ragioni per cui uno schema sia, o non sia, anomalo. In materia di filtraggio delle sanzioni, ciò significa che la gestione dei falsi positivi deve essere tracciabile a partire da criteri di identificazione concreti e non da ipotesi non verificabili.
La tracciabilità collega misurabilità e documentazione alla difendibilità esterna. Un’organizzazione deve essere in grado di ricostruire a posteriori il modo in cui un controllo ha funzionato, dall’emersione del rischio o del segnale fino alla decisione finale. Tale ricostruzione non deve dipendere da ricordi personali, spiegazioni informali o file sparsi al di fuori del sistema di registrazione di riferimento. Deve fondarsi su dati affidabili, registrazioni coerenti, marcature temporali chiare, funzioni responsabili, piste di approvazione e processi decisionali tracciabili. La tracciabilità riveste particolare importanza nelle indagini di vigilanza, negli audit interni, nelle revisioni esterne, nelle analisi degli incidenti e nella rendicontazione al consiglio di amministrazione. Quando non è possibile stabilire che cosa sia accaduto, chi abbia deciso e perché una determinata decisione fosse difendibile, emerge un problema probatorio che indebolisce il funzionamento sostanziale del controllo. Misurabilità, documentazione e tracciabilità non devono quindi essere aggiunte ai controlli a posteriori, ma integrate nel controllo sin dalla sua progettazione.
Stabilire se i controlli continuano a funzionare sotto pressione o in caso di perturbazione
Un controllo che funziona solo in circostanze ideali offre un’assurance limitata. La gestione dei rischi di criminalità finanziaria è spesso messa alla prova quando i processi sono sottoposti a pressione crescente: aumento dei volumi di alert, aggiornamenti delle liste sanzionatorie, migrazioni di sistemi, carenze di personale, pagamenti urgenti, scadenze commerciali, arretrati nelle revisioni dei clienti, picchi di onboarding, incidenti, problemi di qualità dei dati, perturbazioni legate all’esternalizzazione o cambiamenti normativi improvvisi. In tali circostanze diventa visibile se un controllo sia strutturalmente robusto o se dipenda da capacità contingenti, conoscenze informali, correzioni manuali o gestione delle eccezioni. La gestione integrata dei rischi di criminalità finanziaria richiede quindi che il funzionamento dei controlli sia valutato non solo in condizioni operative ordinarie, ma anche in situazioni in cui l’organizzazione è confrontata con perturbazioni, urgenze o pressione accresciuta.
Questo test è particolarmente importante perché i rischi di criminalità finanziaria spesso si intensificano durante i periodi di cambiamento. Nuovi prodotti, nuovi mercati, fusioni, trasformazioni informatiche, riorganizzazioni, esternalizzazioni, automazioni, migrazioni di clienti o programmi di remediation possono indebolire i controlli esistenti o renderli temporaneamente inefficaci. Un controllo di filtraggio delle sanzioni può, ad esempio, diventare vulnerabile quando i dati dei clienti vengono migrati e i campi dati non sono trasferiti correttamente. Un controllo di monitoraggio delle transazioni può perdere efficacia quando gli scenari non sono adeguati in tempo alle nuove caratteristiche dei prodotti. Un processo di revisione dei clienti può accumulare arretrati quando la capacità viene riorientata verso progetti di remediation. Un controllo di escalation può rallentare quando le responsabilità cambiano o la governance diventa temporaneamente incerta. La domanda non è quindi soltanto se i controlli funzionino in condizioni di normale operatività, ma anche se resistano ai cambiamenti che incidono sulla posizione di rischio.
Stabilire la resilienza sotto pressione richiede analisi di scenario, stress test, revisioni degli incidenti, analisi degli arretrati, misurazioni della qualità e valutazione dei dispositivi di continuità e contingenza. Tale valutazione deve tenere conto di segnali quali l’allungamento dei tempi di lavorazione, il calo della qualità dei dossier, l’aumento del numero di eccezioni, la crescita dei rapporti di falsi positivi, le escalation tardive, i workaround manuali, le indisponibilità dei sistemi, le deroghe legate alla capacità e gli scostamenti rispetto alle fasi standard del processo. Deve inoltre essere stabilito se misure compensative siano disponibili quando i controlli primari si indeboliscono temporaneamente. Un’organizzazione capace di dimostrare che i controlli critici di criminalità finanziaria continuano a funzionare in situazioni di perturbazione dispone di una posizione nettamente più solida nei confronti del consiglio di amministrazione, del regolatore e della funzione di audit rispetto a un’organizzazione che può soltanto dimostrare che i controlli sono stati eseguiti in circostanze normali. Il funzionamento dei controlli diventa realmente convincente solo quando non crolla non appena emerge la pressione.
Fornire visibilità sulle lacune di controllo, sulle misure compensative e sui miglioramenti prioritari
Controlli dal funzionamento dimostrabile non presuppongono che ogni rischio sia stato interamente eliminato né che ogni elemento del dispositivo funzioni senza difficoltà. Un approccio credibile alla gestione integrata dei rischi di criminalità finanziaria riconosce che possono esistere lacune di controllo e che non tutte le carenze hanno la stessa gravità, urgenza o importanza in termini di governance. Il punto è che le lacune siano identificate tempestivamente, analizzate con precisione, prioritizzate in modo coerente e accompagnate da un seguito appropriato. Una lacuna di controllo può derivare da controlli mancanti, progettazione inadeguata, esecuzione carente, elementi probatori deboli, problemi di qualità dei dati, limitazioni dei sistemi, titolarità insufficiente, escalation tardiva o cattivo allineamento tra processi. Senza una visibilità sistematica su tali lacune, emerge il rischio che l’organizzazione renda conto principalmente di ciò che è presente, mentre ciò che manca in modo sostanziale rimane insufficientemente visibile.
Le misure compensative svolgono a questo riguardo un ruolo importante, ma devono essere valutate criticamente. Nella pratica, revisioni manuali temporanee, campionamenti aggiuntivi, approvazioni manageriali supplementari, monitoraggio rafforzato, restrizioni applicabili alle attività dei clienti o report temporanei sono frequentemente utilizzati per assorbire le carenze dei controlli primari. Tali misure possono essere necessarie e difendibili, a condizione che sia chiaro quale rischio specifico esse attenuino temporaneamente, quale sia il loro perimetro, chi ne sia responsabile, quale data di termine o punto di valutazione si applichi e quale sia la soluzione strutturale prevista. Una misura compensativa non deve evolvere in una dipendenza permanente senza valutazione formale. Quando workaround temporanei restano in vigore per un periodo prolungato, spesso emerge una nuova vulnerabilità: l’organizzazione si affida a misure che non sono state concepite per una gestione sostenibile, che non sono sufficientemente scalabili e che restano difficili da testare.
Il miglioramento prioritario richiede poi una gerarchizzazione fondata sul rischio, sull’impatto e sulla fattibilità. Non tutte le lacune di controllo giustificano una remediation immediata e di ampia portata, ma le lacune significative in processi critici richiedono una chiara attenzione a livello di governance. Ciò presuppone di tenere conto della natura del rischio di criminalità finanziaria, dell’esposizione dell’organizzazione, della qualità delle misure compensative esistenti, del grado di urgenza giuridica o di vigilanza, del potenziale impatto sui clienti, della dipendenza dalla tecnologia o dai dati, nonché della rapidità con cui un miglioramento può essere realisticamente implementato. Una corretta prioritizzazione evita che i programmi di miglioramento si arenino in lunghe liste di azioni prive di una chiara logica di rischio. La gestione integrata dei rischi di criminalità finanziaria richiede trasparenza: quali lacune esistono, quali rischi creano, quale presidio temporaneo è stato messo in atto, quale miglioramento strutturale è necessario e quale processo decisionale è richiesto per imporre il progresso.
Il funzionamento dimostrabile come criterio centrale della gestione integrata dei rischi di criminalità finanziaria
Il funzionamento dimostrabile costituisce il criterio decisivo attraverso il quale i controlli di criminalità finanziaria acquisiscono il loro significato. Un’organizzazione può adottare policy, pubblicare procedure, implementare sistemi, attribuire ruoli e produrre report, ma senza funzionamento dimostrabile resta senza risposta la questione se il rischio interessato sia effettivamente gestito. Nell’ambito della gestione integrata dei rischi di criminalità finanziaria, il funzionamento dimostrabile deve quindi essere considerato un criterio centrale della qualità del presidio. Si tratta della capacità di mostrare, mediante informazioni concrete, affidabili e tracciabili, che i controlli sono progettati in modo appropriato, eseguiti in modo coerente, trattano i rischi rilevanti, identificano tempestivamente le eccezioni, impongono le escalation, supportano il processo decisionale e conducono a miglioramenti quando vengono rilevate carenze.
Questo approccio riveste anche importanza in termini di governance. I consigli di amministrazione, l’alta direzione, i comitati rischi e le funzioni di controllo non hanno bisogno di una semplice conferma dell’esistenza dei controlli; hanno bisogno di comprendere in quale misura l’ambiente di controllo offra effettivamente protezione contro rischi significativi di criminalità finanziaria. Ciò richiede report che vadano oltre il numero di attività eseguite o le percentuali di trattamento nei termini. Le informazioni di gestione devono fornire visibilità sulla qualità dei controlli, sulle tendenze di rischio, sugli scostamenti, sulle cause profonde, sui rilievi ricorrenti, sulle misure compensative, sui miglioramenti aperti e sulla misura in cui i controlli contribuiscono alla riduzione del rischio. Solo a questa condizione il processo decisionale può fondarsi su informazioni sostanziali di gestione del rischio, anziché su indicatori di processo che suggeriscono assurance ma il cui significato rimane limitato.
Il funzionamento dimostrabile apporta, in definitiva, disciplina all’intero sistema di gestione integrata dei rischi di criminalità finanziaria. Impone una definizione più precisa dei rischi, migliori progettazioni dei controlli, modelli di esecuzione realistici, una governance dei dati più robusta, una migliore documentazione, una titolarità più chiara, un’assurance più mirata e una prioritizzazione più efficace dei miglioramenti. Rende visibile quali controlli contribuiscano realmente alla gestione del rischio e quali producano principalmente complessità amministrativa. Aiuta a evitare che le organizzazioni siano valutate sulla base della dimensione del loro dispositivo di controllo piuttosto che sulla credibilità della loro gestione dei rischi. In un ambito in cui regolatori, auditor e stakeholder sociali richiedono sempre più prove del funzionamento effettivo, la gestione integrata dei rischi di criminalità finanziaria non può basarsi unicamente sulla presenza, sull’intenzione o sullo sforzo. Il criterio determinante è se i controlli funzionino in modo dimostrabile, siano proporzionati al rischio e resistano all’esame critico del loro funzionamento.
