Due Diligence: compliance e valutazione del rischio sulle terze parti
23/07/2019
Il processo di gestione delle terze parti risulta deve poter consentire alle aziende di valutare adeguatamente la propria effettiva esposizione al rischio reputazionale e finanziario. DEFENSIS supporta le aziende nella gestione di progetti KYC, AML, adeguata verifica di clienti e fornitori grazie a competenze tecniche e database internazionali.
Quali sono le fasi della due diligence su terze parti?
Le fasi principali della due diligence sono comunemente:
• creazione della matrice di rischio
• definizione dei processi
• applicazione alle entità di interesse
• valutazione delle risultanze
• mitigazione dei rischi o risoluzione dei rischi identificati.
Mentre la maggior parte degli elementi di una due diligence possono essere facilmente ipotizzabili (rassegna stampa, problemi con la giustizia, sanzioni, persone politicamente esposte…) la complessità reale è legata alla scarsità di informazioni reperibili e a una differente profondità disponibile in relazione alla fonte utilizzata. Molti elementi infatti sono influenzati da regolamenti e leggi locali, contestualizzazione nella cultura locale, nell’ambiente economico-politico ed infine dalla disponibilità tecnologica.
Qual è il processo per la valutazione del rischio?
Durante la fase di pre-due diligence si delineano i motivi per cui si esegue la due diligence sui partner, i fornitori, i distributori, etc. In questa fase si valutano le priorità e si individuano i rischi connessi agli obiettivi e strategie aziendali.
Particolare attenzione quindi deve essere posta alle modalità con cui tali attività verranno integrate nei processi aziendali. Integrazione con gestionali esistenti oppure la gestione attraverso un portale web esterno dedicato? Utilizzo di un servizio interno di review dei red flag o esternalizzazione? Sono scelte che impattano sia dal punto di vista economico, ma soprattutto nel design dei processi e della struttura informativa che andrà messa a punto.
Segue la fase operativa di classificazione delle terze parti secondo il grado di rischio, così come definito al primo step. In relazione alle risultanze si possono prevedere diversi livello di approfondimento progressivo, automatizzato o meno, da applicare sulle terze parti, anche in funzione della loro rilevanza nei rapporti in azienda, non solo in termini economici.
Nei casi in cui l’approfondimento sia necessario si possono infine prevedere enhanced due diligence specifiche sulla singola entità che permettono di valutare adeguatamente profili che presentano caratteristiche complesse, difficilmente dipanabili con strumenti standard a basso costo.
Nel caso stiate per implementare un portale di compliance o una gestione delle terze parti restiamo a disposizione per maggiori informazioni.
Hai degli asset di valore della tua azienda? Noi possiamo aiutarti a proteggerli.