Architettura del Sistema dei Controlli Interni in banca

Alessandro Fienga
Responsabile Internal Auditing
Federazione Campana BCC

Universit di Salerno, 4 dicembre 2014

Temi trattati

Quadro normativo di riferimento e aspetti

introduttivi del SCI

Ruolo degli Organi e delle Funzioni di controllo

Brevi cenni sul RAF

Brevi cenni sul progetto di categoria in materia di

Internal Auditing

Sintesi delle novit introdotte dal 15 agg.

2
Quadro normativo ed aspetti introduttivi

Il 2 luglio 2013 Banca dItalia ha emanato laggiornamento n. 15 della Circolare 263/2006 Nuove disposizioni di vigilanza
prudenziale per le banche, avente per oggetto il Sistema dei controlli Interni, il Sistema informativo e la Continuit
operativa.

Obiettivi

Revisione
Rafforzamento organica
della capacit dellattuale
delle banche di quadro
gestire i rischi normativo
Definizione di un
quadro normativo
omogeneo basato
sul criterio della
proporzionalit

Allineamento
alla direttiva
comunitaria
(CRD IV)

Disposizioni di Vigilanza SCI

3
Quadro normativo ed aspetti introduttivi

Struttura del Titolo V - Capitolo 7 - Sistema dei Controlli Interni

1 Principi generali del sistema di controlli interni (Sez. I)

2 Ruolo degli organi aziendali (Sez. II)

Struttura
dello Istituzione e compiti delle funzioni aziendali di controllo (Sez. III)
schema 3
normativo
4 Esternalizzazione delle funzioni aziendali (Sez. IV)
Capitolo
7
5 Controlli nei gruppi bancari (Sez. V)

6 Regole applicabili alle succursali di banche estere (Sez. VI)

4
Quadro normativo ed aspetti introduttivi

Principi generali del Sistema dei Controlli Interni Sezione I

Il sistema dei controlli interni costituito dallinsieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e
delle procedure che hanno la finalit di:
o verificare lattuazione delle strategie e delle politiche aziendali, prevedendo attivit di controllo diffuse a
ogni segmento operativo e livello gerarchico;
o contenere il rischio entro il limite massimo accettato (RAF);
o salvaguardare il valore delle attivit;
o garantire efficacia ed efficienza dei processi aziendali;
o assicurare affidabilit e sicurezza delle informazioni aziendali e delle procedure informatiche;
o prevenire il rischio che la banca sia coinvolta in attivit illecite, anche attraverso lattenuazione di potenziali
conflitti di interesse;
o garantire conformit con la normativa di vigilanza e i regolamenti e le norme interne.

Le tipologie di controllo identificate sono: Revisione interna (Internal Auditing)

III Livello
Individua violazioni delle procedure e della
regolamentazione e valuta periodicamente
II Livello completezza, funzionalit e adeguatezza
Controlli sui rischi e conformit
del sistema di controlli interni
Assicurano la corretta
attuazione del processo di
gestione dei rischi, il rispetto dei Controlli di linea
limiti operativi assegnati alle varie
funzioni e la compliance Assicurano il corretto svolgimento
I Livello delle operazioni e sono svolti dalle stesse
delloperativit aziendale
strutture operative, che devono identificare,
valutare, misurare, monitorare, attenuare e
riportare i rischi derivanti dallordinaria attivit
aziendale e assicurare che il livello di
tolleranza al rischio stabilito sia sempre
rispettato
5
Quadro normativo ed aspetti introduttivi

Organi aziendali

Struttura Organizzativa

Unit di Business Controlli di linea Controlli di Controlli di terzo Unit di staff (HR,
secondo livello livello IT, ecc.)

6
Quadro normativo ed aspetti introduttivi

Il Ruolo degli Organi aziendali Sezione II

Il corretto funzionamento del sistema dei controlli interni si basa sulla collaborazione nellesercizio dei compiti fra organi
aziendali ed eventuali comitati, soggetti incaricati della revisione legale dei conti e funzioni aziendali di controllo:

Organo di supervisione strategica Organo con funzione di gestione Organo con funzione di controllo

Organo aziendale a cui - ai

sensi del codice civile o per
disposizione statutaria - Organo che vigila
Organo aziendale a cui - ai spettano o sono delegati sullosservanza delle norme di
sensi del codice civile o per compiti di gestione corrente, legge, regolamentari e
disposizione statutaria - sono intesa come attuazione degli statutarie, sulla corretta
attribuite funzioni di indirizzo della indirizzi deliberati amministrazione,
gestione dellimpresa, mediante, nellesercizio della funzione di sulladeguatezza degli assetti
tra laltro, esame e delibera in supervisione strategica. Il organizzativi e contabili della
ordine ai piani industriali o direttore generale rappresenta banca. E identificabile nel
finanziari ovvero alle operazioni il vertice della struttura interna collegio sindacale, consiglio
strategiche e come tale partecipa alla di sorveglianza o comitato
funzione di gestione peril controllo sulla gestione

7
Il Ruolo degli Organi aziendali Sezione II

Organo di supervisione strategica

Definisce ed approva Approva Assicura

il modello di business la coerenza:

la costituzione delle
funzioni aziendali di
controllo
gli indirizzi strategici
gli obiettivi di rischio, i processi di: gestione
la soglia di tolleranza (ove del rischio, valutazione
identificata) e le politiche delle attivit aziendali (in
particolare degli strumenti
di governo dei rischi le finanziari), i sistemi interni
linee di indirizzo del di misurazione dei rischi,
sistema dei controlli
approvazione di nuovi
interni prodotti/servizi
i criteri per individuare le la politica di
operazioni di maggiore esternalizzazione
rilievo da sottoporre al
vaglio preventivo FCR il codice etico
1)della struttura della banca
con lattivit svolta e con il
modello di business
adottato
2)dellattuazione del RAF
con g li obiettivi di rischio e
la soglia di tolleranza
3)del piano strategico, il
RAF, lICAAP, i budget e il
sistema dei controlli interni
4)della quantit e
allocazione del capitale e
della liquidit detenuti

- che il sistema dei controlli

interni e lorganizzazione
-Approva i piani di verifica annuali delle funzioni aziendale siano
di controllo ed il piano pluriennali (audit) costantemente uniformati ai
Altri compiti principi indicati
-con riferimento al processo ICAAP, definisce e
approva le linee generali del processo, ne
assicura la coerenza con il RAF

8
Il Ruolo degli Organi aziendali Sezione II

Organo con funzione di gestione

Processo di gestione dei rischi

stabilisce limiti operativi allassunzione delle varie tipologie di rischio, coerenti con la propensione al rischio, tenendo
esplicitamente conto dei risultati delle prove di stress e dellevoluzione del quadro economico. Inoltre, nellambito della gestione
dei rischi, limita laffidamento sui rating esterni, assicurando che, per ciascuna tipologia di rischio, siano condotte adeguate e
autonome analisi interne
agevola lo sviluppo e la diffusione a tutti i livelli di una cultura del rischio integrata in relazione alle diverse tipologie di rischi
ed estesa a tutta la banca. In particolare, sono sviluppati e attuati programmi di formazione per sensibilizzare i dipendenti in merito
alle responsabilit in materia di rischi in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di
controllo
stabilisce le responsabilit delle strutture e delle funzioni aziendali coinvolte nel processo di gestione dei rischi, in modo
che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti dinteressi; assicura, altres, che le attivit
rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e
conoscenze adeguate ai compiti da svolgere

esamina le operazioni di maggior rilievo oggetto di parere negativo da parte della funzione di controllo dei rischi e, se del
caso, le autorizza ; di tali operazioni informa lorgano con funzione di supervisione strategica e lorgano con funzione di controllo

Processo di approvazione di nuovi prodotti

assicura che vengano pienamente valutati i rischi derivanti dalla nuova operativit, che detti rischi siano coerenti con la
propensione al rischio e che la banca sia in grado di gestirli
definisce le fasce di clientela a cui si intendono distribuire nuovi prodotti o servizi in relazione alla complessit degli stessi
e a eventuali vincoli normativi esistenti
consente di stimare gli impatti della nuova operativit in termini di costi, ricavi, risorse (umane, organizzative e tecnologiche)
nonch di valutare gli impatti sulle procedure amministrative e contabili della banca

individua le eventuali modifiche da apportare al sistema dei controlli interni

9
Il Ruolo degli Organi aziendali Sezione II

Organo con funzione di gestione

Altri compiti

definisce e cura lattuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali

definisce e cura lattuazione dei processi e delle metodologie di valutazione delle attivit aziendali, e, in particolare, degli strumenti
finanziari; ne cura il loro costante aggiornamento

definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e
governabilit dei fattori di rischio e la verifica del rispetto del RAF
nellambito del RAF, se stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite
rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa allorgano con funzione di supervisione strategica,
individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro lobiettivo prestabilito
pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, ladeguatezza, la funzionalit e
laffidabilit del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dellorgano con funzione di
supervisione strategica
predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito
dellintroduzione di nuovi prodotti, attivit, servizi o processi rilevanti

con riferimento al processo ICAAP, d attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e
la RAF e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate
metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le
responsabilit assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse competenti, sufficienti sotto il profilo quantitativo,
collocate in posizione gerarchica adeguata a far rispettare la pianificazione; sia parte integrante dellattivit gestionale
con specifico riferimento ai rischi di credito e di controparte, in linea con gli indirizzi strategici, approva specifiche linee guida
volte ad assicurare lefficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti
generali e specifici di tali tecniche

10
Il Ruolo degli Organi aziendali Sezione II

Organo con funzione di controllo

ha la responsabilit di vigilare sulla completezza, adeguatezza, funzionalit e affidabilit del sistema dei controlli interni e del
RAF

dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo
svolge, di norma, le funzioni dellorganismo di vigilanza eventualmente istituito ai sensi del d.lgs. n. 231/2001, in materia di
responsabilit amministrativa degli enti - che vigila sul funzionamento e losservanza dei modelli di organizzazione e di gestione di cui si
dota la banca per prevenire i reati rilevanti ai fini del medesimo decreto legislativo (le banche possono affidare tali funzioni a un
organismo appositamente istituito dandone adeguata motivazione )
tenuto ad accertare ladeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e
ladeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarit rilevate

11
Funzioni aziendali di controllo Sezione III

Le banche, nellambito della propria autonomia, istituiscono funzioni di controllo permanenti ed indipendenti di:

Funzioni di controllo di secondo livello

Compliance (Conformit alle norme)

Funzione antiriciclaggio (disciplinata da disposizioni ad hoc)

Risk Management (Risk Management)

Funzione di controllo di terzo livello

Internal auditing (Revisione Interna) Terzo Livello

Per assicurare lindipendenza di queste funzioni aziendali necessario che:

o tali funzioni dispongano dellautorit, delle risorse e delle competenze necessarie per lo svolgimento dei
loro compiti, avendo accesso ai dati aziendali e a quelli esterni;
o i responsabili possiedano requisiti di professionalit, siano collocati in posizione gerarchica adeguata e
siano nominati e revocati dallorgano di supervisione strategica e sentito lorgano con funzione di controllo;
o il personale che partecipa alle funzioni di controllo non sia coinvolto in attivit che chiamato a controllare e
che i criteri di remunerazione non ne compromettano lobiettivit;
o le funzioni di controllo siano tra loro separate sotto un profilo organizzativo e ruoli e responsabilit
siano formalizzati. Infatti, poich che ladeguatezza delle funzioni di conformit alle norme e di controllo dei
rischi verificata periodicamente da parte della funzione di revisione interna, per assicurarne limparzialit, le
funzioni compliance e risk management non possono essere affidate alla funzione di internal audit.

12
Funzioni aziendali di controllo Sezione III

Risk Management

Collabora alla definizione ed attuazione:

- delle politiche di governo dei rischi

- del RAF
- del processo di gestione dei rischi

Definizione, sviluppo ed
Ausilio e proposta Monitoraggio
analisi

Politiche governo rischi Metriche valutazione rischi Adeguatezza RAF e

operativi e di reputazione processo gestione rischi
Parametri RAF Indicatori anomalia
Livello rischio effettivo
Rischi nuovi prodotti
Fasi processo gestione
rischi Adeguatezza monitoraggio
andamentale singole posizioni

Limiti operativi
Potere di veto

d pareri preventivi sulla coerenza con il RAF delle operazioni di

maggiore rilievo eventualmente acquisendo in funzione della natura
delloperazione il parere di altre funzioni coinvolte nel processo di gestione
dei rischi. In caso di paraere negativo di attivano procedure di escalation

13
Funzioni aziendali di controllo Sezione III

Compliance

Rischio di non conformit

il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti
o danni di reputazione in conseguenza di violazioni di norme imperative (leggi,
regolamenti) ovvero di autoregolamentazione (es. statuti, codici di condotta, codici di
autodisciplina).

Responsabilit diretta Coinvolgimento graduato

Attivit Bancaria e di per settori in cui c gi presidio

intermediazione (es. privacy, sicurezza sul lavoro)
ma almeno: valutazione rischio,
Conflitti di interesse definizione procedure, successiva
verifica di adeguatezza.
Trasparenza e tutela del Rischio Fiscale
consumatore

Norme senza presidio

specializzato

14
Funzioni aziendali di controllo Sezione III

Internal audit

La funzione di revisione interna volta, da un lato, a controllare, in unottica di

controlli di terzo livello, anche con verifiche in loco, il regolare andamento
dell'operativit e levoluzione dei rischi, e, dall'altro, a valutare la completezza,
ladeguatezza, la funzionalit e laffidabilit della struttura organizzativa e delle
altre componenti del sistema dei controlli interni, portando all'attenzione degli
organi aziendali i possibili miglioramenti, con particolare

Valuta Verifica (anche con ispezioni)

valuta la completezza,
ladeguatezza, la
funzionalit, laffidabilit
delle altre componenti del
sistema dei controlli
interni,
valuta lefficacia del
processo di definizione del
RAF
la regolarit delle diverse attivit
aziendali (anche presso filiali)
Il rispetto dei meccanismi di
delega
lefficacia dei poteri della funzione
di controllo dei rischi di fornire
pareri preventivi sulla coerenza
con il RAF delle operazioni di
maggior rilievo;

(ICT audit);

la rimozione delle anomalie

riscontrate (follow-up) ;

Accertamento riguardo a
specifiche irregolarit.

15
Coordinamento dei controlli

Proliferazione funzioni ed organi di

Rischio di sovrapposizione
controllo

Risk Organo di
Management controllo

Compliance Organismo di
Vigilanza 231

Funzione Comitato
Antiriciclaggio controllo rischi Documento di coordinamento

Internal Ecc.
Auditing

Il documento approvato dallOFSS

Definisce:
compiti e responsabilit organi e funzioni di
controllo e 'flussi informativi
modalit coordinamento e collaborazione

Non pu alterare le attribuzioni degli organi

16
Brevi cenni sul RAF

Il RAF (Risk Appetite Framework) il quadro di riferimento che definisce la propensione al rischio, le soglie di
tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e
attuarli, in coerenza con il massimo rischio assumibile, il modello di businnes ed Piano Strategico.

Il RAF la cornice di riferimento che:

o traduce la mission aziendale in variabili quali-quantitative in quanto collega i rischi alla strategia
aziendale (controllo strategico)
o traduce gli obiettivi di rischio in vincoli ed incentivi per la struttura (gestione e controllo dei rischi).

Il processo di definizione ed attuazione del RAF pu essere sinteticamente esemplificato nelle seguenti
macro fasi:

1) Definizione degli obiettivi di rischio e delle soglie di tolleranza;

2) Declinazione dei limiti operativi e degli indicatori di rischio;

3) Controllo e reporting

17
Brevi cenni sul RAF

I presupposti per un RAF efficace possono essere sintetizzati in:

Integrazione e coerenza tra il RAF ed i processi aziendali di governo (Modello di business, Piano
strategico, ICAAP, budget);

Coinvolgimento nella definizione del RAF da parte dei soggetti chiamati ad attuarlo e chiara
comunicazione ala struttura con coerente sistema incentivante

Adeguata correlazione ai cambiamenti delle condizioni di mercato

18
Brevi cenni sul RAF

Definizioni

risk capacity (massimo rischio assumibile) si intende il livello massimo di rischio che la Banca tecnicamente in
grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dallAutorit di vigilanza;

risk appetite (obiettivo di rischio o propensione al rischio) si intende il livello di rischio (complessivo e per
tipologia) che la Banca intende assumere per il perseguimento dei suoi obiettivi strategici;

risk tolerance (soglia di tolleranza) si intende la devianza massima dal risk appetite consentita; la soglia di
tolleranza fissata in modo da assicurare in ogni caso alla Banca margini sufficienti per operare, anche in condizioni
di stress, entro il massimo rischio assumibile;

risk profile (rischio effettivo) si intende il rischio effettivamente assunto, misurato in un determinato istante
temporale;

risk limits (limiti di rischio) articolazione degli obiettivi di rischio in limiti operativi/indicatori di rischio definiti per
tipologia di rischio operativi

19
Brevi cenni sul RAF

In linea teorica dovrebbe valere la seguente relazione:

RISK CAPACITY > RISK TOLERANCE > RISK APPETITE > RISK PROFILE

Soglia di Risk Soglia intermedia Soglia di Risk

Tolerance Appetite

Scostamento
Scostamento
poco
significativo
significativo

Occorre tuttavia considerare che i rischi non sono tutti uguali.

20
Brevi cenni sul RAF

Esempio delle attivit di monitoraggio

Il monitoraggio degli scostamenti tra le posizioni effettive e quelle desiderate si basa su specifiche soglie
preventivamente definite che consentono di misurare il grado di realizzazione degli obiettivi di rischio. In particolare,
le soglie, definiscono i range di valori che qualificano la rilevanza degli scostamenti rispetto allobiettivo predefinito.
Leventuale avvicinamento rispetto alla soglia di tolleranza (cfr. precedente figura) attiva differenti modalit di
gestione degli scostamenti:

Poco rilevante: in questo caso lorgano deputato autorizza e gestisce (ottimizzazione del profilo rischio-
rendimento) il superamento entro la soglia intermedia, e provvede a dare pronta informativa allorgano
deputato delle azioni gestionali intraprese per minimizzare/ottimizzare lo scostamento dagli obiettivi definiti;

Rilevante: allorgano deputato viene fornita pronta informativa circa le cause dello scostamento e sul piano di
interventi individuato/avviato per ricondurre il profilo di rischio entro lobiettivo definito e prevenire il
superamento della soglia di tolleranza. Nel caso venga richiesta la revisione degli obiettivi, lorgano deputato
delibera in merito;

Superamento della soglia di tolleranza: il mancato rispetto del massimo rischio tollerato comporta un
immediata informativa da parte della Risk Manager agli Organi aziendali al fine di attivare le azioni correttive.
(ad esempio piano di emergenza) preliminarmente definite. Tali piani vengono formalizzati in specifici
documenti (accessibili da parte di tutte le strutture potenzialmente coinvolte nella gestione delle situazioni di
emergenza), in modo tale da garantire l attuazione delle iniziative di mitigazione del rischio ( ad es.
Contingency Funding Plan, Piano di continuit operativa, Piano di conservazione del capitale).

21
Esternalizzazione di funzioni aziendali Sezione IV

Le banche sono tenute a presidiare attentamente i rischi derivanti

dallesternalizzazione, mantenendo la
capacit di controllo e la responsabilit delle attivit esternalizzate nonch le
competenze essenziali per
re-internalizzare le stesse in caso di necessit (...).

Principali punti di analisi

Policy aziendale in materia di Condizioni da garantire e Esternalizzazione delle

esternalizzazione obblighi essenziali funzioni di controllo

Formalizzazione di una Diritti e obblighi delle controparti,

Ulteriori obblighi aggiuntivi che le
procedura contenente le livelli di servizio (SLA), misure
banche devono garantire e prevedere
modalit per laffidamento di minime da adottare
nellaccordo di esternalizzazione
attivit in outsourcing.
quando affidano a soggetti terzi, in tutto
Concetto di funzione operativa o in parte, le funzioni aziendali di
importante. Obblighi comunicazione controllo. Nomina referentie aziendale.
Bankit

Le banche che intendono esternalizzare, in tutto o in parte, lo

svolgimento di funzioni operative importanti o di controllo nellambito
del gruppo di appartenenza ne danno comunicazione preventiva alla
Banca dItalia.

Invio annuale alla Banca d'Italia di una relazione.

22
 Esternalizzazione IA Progetto di categoria

PROCESSO

Approccio Fase 1 Fase 2 Fase i Fase n

RISK BASED

Rischio 1 Rischio 2 Rischio i

Impatto dei rischi

Basso Medio Alto

FREQUENZA
Mitigazione dei rischi
Indice di
rischiosit
Controlli di Risk Controlli
linea Management/ Internal Basso Medio Alto Continuit

Compliance/ Auditing PESO

AR

23
 Esternalizzazione IA Progetto di categoria

La conduzione delle verifiche IA la valutazione dei controlli

I controlli di linea e di secondo livello sono valutati in base alla loro capacit di ridurre lindice di rischiosit potenziale.

La scala di valutazione qualitativa dei controlli esistenti la seguente:

1 - adeguato
2 - in prevalenza adeguato
3 - parzialmente adeguato
4 - in prevalenza inadeguato
5 - inadeguato/assente

La valutazione complessiva dei controlli determina il rischio residuo ovvero il livello di rischiosit individuato (indice di
rischiosit potenziale - grading), ridotto (in misure percentuali predefinite - scoring) dal livello complessivo di adeguatezza
dei controlli attivati dalla banca

24
 Esternalizzazione IA Progetto di categoria

Report Ordinario: Rappresentazione sintetica del livello di rischiosit potenziale del processo

Indice di rischiosita' potenziale (grading)

Continuita' Alto Medio Basso

Totale La tabella indica per ogni fase
Fasi del processo rischi
del processo auditato il livello di
Pianificazione e Organizzazione 1 2 0 0 3
rischiosit potenziale standard
Concessione e Revisione 8 17 7 2 34 (in relazione alle check list
Monitoraggio 1 7 4 0 12 rilasciate dalla Commissione
Gestione del Contenzioso 1 12 4 0 17 Controlli)

Totale 11 38 15 2 66
Peso indice di rischiosita' 16,67% 57,58% 22,73% 3,03% 100%

Tabella 1bis: Rischiosita' Potenziale per fasi del processo (banca)

La tabella indica per ogni
fase del processo auditato Indice di rischiosita' potenziale (grading)
il livello di rischiosit Continuita' Alto Medio Basso
Totale Non
Fasi del processo rischi applicabili
potenziale dei rischi che Pianificazione e Organizzazione 1 2 0 0 3 0
sono stati inseriti nel Piano Concessione e Revisione 5 17 7 2 31 3
di audit. Sono evidenziati Monitoraggio 1 7 4 0 12 0
anche i rischi non Gestione del Contenzioso 1 12 4 0 17

applicabili Totale 8 38 15 2 46 20
Peso indice di rischiosita' 12,70% 60,32% 23,81% 3,17% 100%

25
Esternalizzazione IA Progetto di categoria

Report Ordinario: Rappresentazione sintetica del livello di rischiosit residua del processo

Tabella 2: Rischiosita' Residuale per fasi del processo (scoring)

Indice di rischiosita' residuale (scoring)

Non
5 4 2 1 0 Totale rischi
Applicabili
Fasi del processo
Pianificazione e Organizzazione 0 1 2 0 0 0 3
Concessione e Revisione 2 8 9 7 5 3 31
Revisione 0 0 0 0 0 0 0
Monitoraggio 0 2 3 6 1 0 12
Gestione del Contenzioso 0 0 0 0 0 17 17

Totale 2 11 14 13 6 17 63

Peso indice di rischiosita' 3,17% 17,46% 22,22% 20,63% 9,52% 26,98% 100%

La tabella indica per ogni fase del processo auditato il livello di rischio residuo ovvero la differenza tra i rischi
potenziali e le tecniche di controllo attuate dalla Banca

26

26
Esternalizzazione IA Progetto di categoria

Report Ordinario: Abbattimento percentuale del rischio valutato

Tabella 4: Abbattimento percentuale del rischio valutato

% di
Indice di Indice di Rischio Indice di
N di Rischi Abbattimento
rischiosita' residuo abbattimento
valutati del Rischio
potenziale assoluto assoluto
valutato
FASE

Pianificazione e Organizzazione 3 245 134 111 45,31%

Concessione e Revisione 31 2285 1166 1119 48,97%

Monitoraggio 12 845 363 482 57,04%

46 3375 1663 1712 50,73%

La tabella riporta la riduzione percentuale del peso potenziale dei rischi da parte del sistema dei controlli interni
relativamente al processo auditato. Le percentuali indicate, rappresentano, quindi, lefficacia dei controlli di
linea e sulla gestione dei rischi

27
Principali novit introdotte dal 15 aggiornamento
RISK MANAGEMENT
Modifica riporto della funzione
Estensione dei poteri del Risk Management
Definizione politiche di governo dei rischi e relativi
processi
Rafforzamento obblighi di reporting verso Bankit
Sviluppo indicatori di controllo
Pareri preventivi su operazioni di maggiore rilievo
INTERNAL AUDIT
Obblighi di reporting verso Banca dItalia
Assetto organizzativo
Controlli su metodologie di valutazione delle
attivit, risk management, su criticit identificate
dalla societ di revisione legale
Pianificazione in funzioni dei rischi
Esplicito riferimento a Standard internazionali per
lesercizio della professione
Adempimenti in materia di outsourcing
GOVERNANCE
Risk Appetite Framework COMPLIANCE
Operazioni di maggiore rilievo
Collocazione organizzativa
Attribuzione al Collegio Sindacale dellOdV 231/01
Documento SCI Ampliamento perimetro della funzione
Verifica annuale compliance SCI Presidi aziendali specialistici
Codice etico Rafforzamento obblighi reporting a Banca
Modalit di nomina e revoca funzioni di controllo dItalia
ORGANIZZAZIONE ICT
Definizione/revisione organizzazione ICT
Approccio integrato alla gestione dei rischi
Introduzione di un modello di gestione integrata dei
Definizione dei controlli di linea
Rischi Informatici
Disciplina organica in materia di esternalizzazione
Introduzione di un modello di gestione dei dati (Data
di funzioni aziendali
Governance)
Regole e procedure per la valutazione delle attivit
Definizione/Revisione criteri specifici per
lesternalizzazione di sistemi e servizi ICT ivi
Definizione percorsi formativi del personale
incluso loutsourcing in modalit cloud computing
Procedure di valutazione quali quantitativa del
Obbligo di predisposizione dei Documenti aziendali
personale delle funzioni di controllo
per la gestione e il controllo ICT (Allegato A)
Consulenze per le funzioni di controllo
Obbligo di reporting verso Banca dItalia dei
controlli svolti da parte dellinternal Auditing nei
confronti delloutsourcer
Rafforzamento requisiti in tema di Continuit
Operativa
28
Principali novit introdotte dal 15 aggiornamento

Banca dItalia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini di adeguamento
Sono state previste scadenze differenziate a seconda dellintervento oggetto di adeguamento

2013 2014 2015 2016

Termini per ladeguamento

2 luglio
31 dicembre 2013 1 luglio 2014 1 Febbraio 2015 1 luglio 2015 1 luglio 2016
2013
Termine Termine generale per Termine generale Termine per Termine per
Emanazione
autovalutazione e ladeguamento alle per ladeguamento alle ladeguamento del ladeguamento dei
Disposizioni di
inoltro a Bankit della disposizioni di cui al disposizioni di cui al collocamento contratti di
vigilanza
relativa relazione e Capitolo 7 (SCI) e al Capitolo 8 (Sistema organizzativo delle esternalizzazione ai
contratti di Capitolo 9 (Continuit Informativo) funzioni di controllo di requisiti previsti dalle
esternalizzazione Operativa) secondo livello (linee di disposizioni
riporto)

29
Precisazioni della Banca dItalia di giugno 2014

La Banca dItalia, con nota di giugno 2014, ha fornito ulteriori precisazioni in ordine allapplicazione del 15 aggiornamento.
Di seguito si riportano sinteticamente alcuni estratti:

Il piano di audit pluriennale dovr essere redatto e approvato entro la chiusura dellesercizio in cui la nuova disciplina divenuta
efficace;

Le politiche e le procedure di gestione delle risorse umane sono riportate in una specifica policy aziendale approvata dallorgano
con funzione di supervisione strategica;

Con riferimento al sistema dei controlli interni, nelle banche di credito cooperativo, possibile delegare alcuni compiti dellorgano
con funzione di gestione al direttore generale? Lorgano con funzione di gestione lorgano aziendale o i componenti di esso a
cui ai sensi del codice civile o per disposizione statutaria spettano o sono delegati compiti di gestione, intesa come attuazione
degli indirizzi deliberati nellesercizio della funzione di supervisione strategica. Con riferimento al sistema dei controlli interni,
lorgano con funzione di gestione assegnatario di precisi compiti e responsabilit previsti nella Sezione II, par. 3, non delegabili
ad altri soggetti fra cui anche il direttore generale, che rappresenta il vertice della struttura interna dellintermediario;

Nelle banche di piccole dimensioni o a limitata complessit operativa, sprovviste di un amministratore delegato e di un comitato
esecutivo, le funzioni aziendali di controllo di secondo livello possono essere collocate a riporto gerarchico del direttore
generale? Le funzioni aziendali di controllo di secondo livello devono essere collocate alle dirette dipendenze dellorgano con
funzione di gestione. Il direttore generale, pur partecipando alla funzione di gestione, non pu essere identificato con lorgano
stesso che, invece, nei casi prospettati da individuarsi nel consiglio di amministrazione.

Sistema informativo affidato in full outsourcing tenuto conto del principio di proporzionalit, per le verifiche sui componenti o
servizi ICT esternalizzati, la funzione di audit dellintermediario possa scegliere, sotto la propria responsabilit, di fare affidamento
sullinternal audit del fornitore di servizi, previa valutazione della sua professionalit e indipendenza

30
Precisazioni della Banca dItalia di giugno 2014

Esternalizzazione della funzione di internal audit ed il ruolo di referente per lattivit esternalizzata Al referente per le funzioni
aziendali di controllo esternalizzate si applicano le disposizioni previste nella Sezione III, par. 1, lett. b), fra cui la possibilit che
possa essere un componente dellorgano amministrativo, purch sia destinatario di specifiche deleghe in materia e non sia
destinatario di altre deleghe che ne pregiudichino lautonomia;

Nelle realt non complesse (banche medio piccole) risulta frequente il ricorso all'outsourcing di diverse attivit; in tali casi,
coerente con il principio di proporzionalit la nomina di un solo referente o necessario individuare un referente per ogni attivit
esternalizzata? per le banche di minori dimensioni e a ridotta complessit operativa, non vi sono elementi ostativi
allesternalizzazione di pi funzioni aziendali con individuazione di un solo referente interno, purch siano rispettati i limiti
espressamente previsti dalla disciplina (ad esempio, divieto di cumulare controlli di secondo e terzo livello, o attivit operative e
attivit di controllo) e il referente sia effettivamente in grado di svolgere efficacemente il proprio ruolo con riguardo a pi attivit
esternalizzate.

31