Blog Conformità

Risk assessment: quali dati sono veramente necessari per la vostra due diligence?

|

Si discuteva della 5ª direttiva sul riciclaggio di denaro ancor prima dell’implementazione della quarta. Dovete rispettare le direttive UE, gli elenchi di sanzioni e altre regole. Al riguardo, alcuni regolamenti si ampliano, altri vengono eliminati oppure se ne aggiungono di nuovi. Anche solo il numero di regolamenti e il movimento del mercato sono soffocanti e assicurare la conformità della propria azienda è un’impresa estremamente difficile. Per non parlare della due diligence! In questo articolo, scoprite qual è il primo passo che dovete compiere per traghettare la vostra azienda in acque sicure.

Ogni mese, se non ogni settimana, vi sono nuove direttive, sanzioni e nuovi embarghi. Cosa succede, mentre i responsabili della Compliance cercano di ridurre i rischi senza frenare la crescita dell’attività? Si crea uno tsunami di dati che minaccia di seppellire processi costruiti con fatica. Partner commerciali, fornitori, clienti e molte altre Third Party possono esporre la vostra azienda a rischi, dai più piccoli ai più grandi. Un esempio: il 90% dei casi di corruzione definiti dall’FCPA negli ultimi 40 anni era collegato a Third Party.

Tuttavia, l’83% delle aziende non esegue alcuna verifica periodica della due diligence per tutte le Third Party. È qui che inizia la lotta alle catastrofi (sì, si può esprimere in modo così drastico): prendete la situazione in mano e ritornate sui vostri passi. Il primo passo verso la risoluzione di una crisi è avere una visione d’insieme. È il momento di occuparsi di una Risk Assessment / valutazione del rischio.

Azzardate uno sguardo all’interno e all’esterno

Vi sono dati a sufficienza sui partner commerciali. Grazie ai provider di dati! La domanda cruciale è cosa vi serve effettivamente: indirizzo, gerarchia, rapporti di proprietà, avente diritto economico, dati finanziari e di pagamento, avvisi di trigger – l’elenco è infinito. A tal fine, una Risk Assessment fornisce aiuto. Questa fase si occupa dell’interno e dell’esterno di un’azienda. Alla base vi è l’approccio basato sul rischio che adottate. A seconda del livello di rischio stimato per la vostra azienda, è necessaria una verifica più o meno approfondita.

Gestione del rischio interno all’azienda

Conviene gettare prima uno sguardo all’interno dell’azienda. Alcune domande sulla situazione dell’azienda aiutano a fornire informazioni sul livello effettivo del rischio potenziale dall’esterno. Effettuate una classificazione del rischio della vostra azienda. In questo modo, potete valutare con maggiore accuratezza in quale livello di rischio si colloca una Third Party (il livello di «pericolosità» per la vostra azienda di questo «terzo»). Un esempio vi spiega che siete esposti a un maggior rischio di riciclaggio di denaro se lavorate nel settore dei metalli preziosi, poiché tali metalli possono essere facilmente utilizzati per riciclare il denaro. Nel settore edilizio, i ritardi nei pagamenti rappresentano i classici rischi dall’esterno.

Di seguito, alcune possibili domande che dovreste porvi sulla vostra situazione.

  • In quale settore opera principalmente la mia azienda?
  • E a quali rischi sono tipicamente esposto nel mio settore?
  • Opero a livello internazionale o locale?
  • Se opero solo a livello locale – a quali rischi di reputazione potrei essere esposto?

Anche uno sguardo all’organizzazione della vostra azienda può convenire. Avete per esempio una vendita esterna che si reca principalmente dal cliente? In questo caso, siete esposti a un maggior rischio di corruzione rispetto a una situazione di vendita a distanza.

Gestione del rischio esterno all’azienda

Nella fase successiva vi occuperete delle Third Party. Esaminate il contesto in cui si colloca la vostra azienda. Individuate i vostri fornitori, offerenti, clienti, agenti, le vostre affiliate e altri partner.

Riconoscete le aree concrete di rischio

Sapete in quale ambito vi muovete e avete individuato anche il vostro contesto – eccellente! Avete la sensazione di essere a pochi passi da uno tsunami di dati? Agite in modo strutturato e occupatevi di queste aree concrete di rischio.

Norme di legge

Fatevi innanzitutto una visione d’insieme del quadro normativo che riguarda la vostra azienda: sono soggetto a regolamenti locali o internazionali?

Successivamente, considerate la vostra Third Party: nella storia della Third Party, vi sono violazioni della legge quali riciclaggio di denaro, finanziamento del terrorismo, corruzione o concussione?

Per quest’area di rischio avete bisogno di dati per l’identificazione della vostra Third Party, dei dati di pagamento e dei dati storici della vostra Third Party nonché accesso agli elenchi di sanzioni.

Rischi specifici per paese

In quale paese opero? E in quale opera la mia Third Party? Si tratta di un High-Risk Country?

Anche i rischi specifici per paese si possono individuare con i dati per la chiara identificazione di una Third Party. Una World Heat Map o Country Insight specifici creano una panoramica veloce.

Rischi specifici per settore

Siete voi o la vostra Third Party a operare in un settore esposto a ritardi nei pagamenti, corruzione o a danni reputazionali? Quant’è intrecciato il relativo settore con la politica?

Come notate, l’identificazione univoca è importante anche in quest’ambito. Tenetevi aggiornati su quanto concerne il vostro settore e i settori delle vostre principali Third Party: impostate Alert presso i comuni servizi di informazione per restare informati quotidianamente. Vi collocate in un settore con un livello elevato di vulnerabilità? Utilizzate un tool che vi consente di identificare in modo univoco la vostra Third Party, incl. codice SIC e oggetto dell’attività economica.

Rischi di reputazione

I danni reputazionali da parte di terzi possono portare a una perdita di stakeholder o (fiducia dei) clienti?

Se un danno reputazionale rappresenta un rischio significativo per la vostra azienda, le notizie negative rappresentano una buona fonte per verificare le vostre Third Party. Anche la struttura aziendale e le partecipazioni nonché gli aventi diritto economico (anche «Ultimate Beneficial Owner» o «UBO») possono essere al riguardo indicatori importanti.

Rischi economici

Qual è la situazione di liquidità delle vostre Third Party e della redditività?

Distinguete l’essenziale dai dettagli e attenuate il rischio per la vostra azienda. Se si tratta di pagamenti, investimenti o partnership di più lungo termine, i dati di pagamento delle vostre Third Party sono un elemento essenziale.

A questo punto, valutate in quale area di rischio operano i vostri partner commerciali. Consigliamo una distinzione in rischio elevato, rischio medio, rischio basso e rischio molto basso.

Dall’identificazione all’integrità – adeguate i vostri sforzi al rischio

Classificate i vostri partner commerciali secondo il vostro contesto di rischio. Riconoscete il livello di rischiosità di questo contesto! Ciò che sembra un’evidente fase intermedia, è indispensabile per la due diligence effettiva della Third Party. A seconda della classificazione del rischio, potete adeguare i vostri sforzi nell’ambito dello screening e del monitoraggio (e secondo il motto «il tempo è denaro»!).

Rischio molto basso: questi fornitori terzi

…forniscono servizi, prodotti o beni con rischio basso;

…presentano un basso numero di interruzioni o eventi negativi a livello storico dell’azienda;

…non hanno accesso ai dati generalmente sensibili o dati particolarmente sensibili della mia azienda;

…e non hanno alcun rapporto con il cliente finale.

Rischio basso: questi fornitori terzi

…forniscono servizi, prodotti o beni con rischio medio;

… presentano un numero medio di interruzioni o eventi negativi a livello storico dell’azienda;

…hanno accesso ai dati generalmente sensibili o dati particolarmente sensibili della mia azienda;

…e non hanno alcun rapporto con il cliente finale.

Rischio medio: questi fornitori terzi

…forniscono servizi, prodotti o beni con rischio da medio a elevato;

… presentano un numero elevato di interruzioni o eventi negativi a livello storico dell’azienda;

…hanno accesso ai dati generalmente sensibili o dati particolarmente sensibili della mia azienda;

…e hanno un rapporto con il cliente finale.

Rischio elevato: questi fornitori terzi

…forniscono servizi, prodotti o beni con rischio elevato;

… presentano un numero critico di interruzioni o eventi negativi a livello storico dell’azienda;

…hanno accesso ai dati generalmente molto sensibili o dati particolarmente molto sensibili della mia azienda;

…e hanno un rapporto con il cliente finale.

Importante: anche se classificate le Third Party con un rischio basso, dovreste monitorare comunque l’entità e documentare i vostri screening. Potete risparmiare tempo e risorse in termini di profondità della verifica.

Ci siamo quasi – Ecco le vostre liste di controllo

È il momento di complimentarvi con coi stessi: avete elaborato tutti i punti interrogativi che lo tsunami di dati aveva scatenato. Ben fatto! Ora potete suddividere la due diligence delle vostre Third Party in tre liste di controllo. Non riducete solo i rischi a cui la vostra azienda è esposta, ma contribuite a evitare rischi incrementando così il valore. Potete ridurre la due diligence delle vostre Third Party a tre domande elementari.

Chi siete?

Controllo dell’identità mediante i vostri dati base, dati sull’avente diritto economico e sui rapporti di proprietà.

Qual è il vostro livello di integrità?

Controllo dell’integrità mediante screening di elenchi di sanzioni, Watchlist e Blacklist nonché Adverse media screening.

Qual è il livello del rischio derivante da una relazione con voi?

Controllo del rischio, a seconda dell’approccio basato sul rischio da voi definito. Valutate il rischio e definite un albero decisionale.