Académique Documents
Professionnel Documents
Culture Documents
Alessandro Fienga
Responsabile Internal Auditing
Federazione Campana BCC
2
Quadro normativo ed aspetti introduttivi
Il 2 luglio 2013 Banca dItalia ha emanato laggiornamento n. 15 della Circolare 263/2006 Nuove disposizioni di vigilanza
prudenziale per le banche, avente per oggetto il Sistema dei controlli Interni, il Sistema informativo e la Continuit
operativa.
Obiettivi
Revisione
Rafforzamento organica
della capacit dellattuale
delle banche di quadro
gestire i rischi normativo
Definizione di un
quadro normativo
omogeneo basato
sul criterio della
proporzionalit
Allineamento
alla direttiva
comunitaria
(CRD IV)
4
Quadro normativo ed aspetti introduttivi
Il sistema dei controlli interni costituito dallinsieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e
delle procedure che hanno la finalit di:
o verificare lattuazione delle strategie e delle politiche aziendali, prevedendo attivit di controllo diffuse a
ogni segmento operativo e livello gerarchico;
o contenere il rischio entro il limite massimo accettato (RAF);
o salvaguardare il valore delle attivit;
o garantire efficacia ed efficienza dei processi aziendali;
o assicurare affidabilit e sicurezza delle informazioni aziendali e delle procedure informatiche;
o prevenire il rischio che la banca sia coinvolta in attivit illecite, anche attraverso lattenuazione di potenziali
conflitti di interesse;
o garantire conformit con la normativa di vigilanza e i regolamenti e le norme interne.
Organi aziendali
Struttura Organizzativa
Unit di Business Controlli di linea Controlli di Controlli di terzo Unit di staff (HR,
secondo livello livello IT, ecc.)
6
Quadro normativo ed aspetti introduttivi
Il corretto funzionamento del sistema dei controlli interni si basa sulla collaborazione nellesercizio dei compiti fra organi
aziendali ed eventuali comitati, soggetti incaricati della revisione legale dei conti e funzioni aziendali di controllo:
Organo di supervisione strategica Organo con funzione di gestione Organo con funzione di controllo
7
Il Ruolo degli Organi aziendali Sezione II
8
Il Ruolo degli Organi aziendali Sezione II
esamina le operazioni di maggior rilievo oggetto di parere negativo da parte della funzione di controllo dei rischi e, se del
caso, le autorizza ; di tali operazioni informa lorgano con funzione di supervisione strategica e lorgano con funzione di controllo
9
Il Ruolo degli Organi aziendali Sezione II
Altri compiti
definisce e cura lattuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali
definisce e cura lattuazione dei processi e delle metodologie di valutazione delle attivit aziendali, e, in particolare, degli strumenti
finanziari; ne cura il loro costante aggiornamento
definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e
governabilit dei fattori di rischio e la verifica del rispetto del RAF
nellambito del RAF, se stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite
rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa allorgano con funzione di supervisione strategica,
individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro lobiettivo prestabilito
pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, ladeguatezza, la funzionalit e
laffidabilit del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dellorgano con funzione di
supervisione strategica
predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito
dellintroduzione di nuovi prodotti, attivit, servizi o processi rilevanti
con riferimento al processo ICAAP, d attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e
la RAF e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate
metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le
responsabilit assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse competenti, sufficienti sotto il profilo quantitativo,
collocate in posizione gerarchica adeguata a far rispettare la pianificazione; sia parte integrante dellattivit gestionale
con specifico riferimento ai rischi di credito e di controparte, in linea con gli indirizzi strategici, approva specifiche linee guida
volte ad assicurare lefficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti
generali e specifici di tali tecniche
10
Il Ruolo degli Organi aziendali Sezione II
ha la responsabilit di vigilare sulla completezza, adeguatezza, funzionalit e affidabilit del sistema dei controlli interni e del
RAF
dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo
svolge, di norma, le funzioni dellorganismo di vigilanza eventualmente istituito ai sensi del d.lgs. n. 231/2001, in materia di
responsabilit amministrativa degli enti - che vigila sul funzionamento e losservanza dei modelli di organizzazione e di gestione di cui si
dota la banca per prevenire i reati rilevanti ai fini del medesimo decreto legislativo (le banche possono affidare tali funzioni a un
organismo appositamente istituito dandone adeguata motivazione )
tenuto ad accertare ladeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e
ladeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarit rilevate
11
Funzioni aziendali di controllo Sezione III
Le banche, nellambito della propria autonomia, istituiscono funzioni di controllo permanenti ed indipendenti di:
o tali funzioni dispongano dellautorit, delle risorse e delle competenze necessarie per lo svolgimento dei
loro compiti, avendo accesso ai dati aziendali e a quelli esterni;
o i responsabili possiedano requisiti di professionalit, siano collocati in posizione gerarchica adeguata e
siano nominati e revocati dallorgano di supervisione strategica e sentito lorgano con funzione di controllo;
o il personale che partecipa alle funzioni di controllo non sia coinvolto in attivit che chiamato a controllare e
che i criteri di remunerazione non ne compromettano lobiettivit;
o le funzioni di controllo siano tra loro separate sotto un profilo organizzativo e ruoli e responsabilit
siano formalizzati. Infatti, poich che ladeguatezza delle funzioni di conformit alle norme e di controllo dei
rischi verificata periodicamente da parte della funzione di revisione interna, per assicurarne limparzialit, le
funzioni compliance e risk management non possono essere affidate alla funzione di internal audit.
12
Funzioni aziendali di controllo Sezione III
Risk Management
Definizione, sviluppo ed
Ausilio e proposta Monitoraggio
analisi
Limiti operativi
Potere di veto
13
Funzioni aziendali di controllo Sezione III
Compliance
14
Funzioni aziendali di controllo Sezione III
Internal audit
valuta la completezza,
la regolarit delle diverse attivit
ladeguatezza, la
aziendali (anche presso filiali)
funzionalit, laffidabilit
delle altre componenti del Il rispetto dei meccanismi di
sistema dei controlli delega
interni,
lefficacia dei poteri della funzione
valuta lefficacia del di controllo dei rischi di fornire
processo di definizione del pareri preventivi sulla coerenza
RAF con il RAF delle operazioni di
maggior rilievo;
(ICT audit);
Accertamento riguardo a
specifiche irregolarit.
15
Coordinamento dei controlli
Risk Organo di
Management controllo
Compliance Organismo di
Vigilanza 231
Funzione Comitato
Antiriciclaggio controllo rischi Documento di coordinamento
Internal Ecc.
Auditing
Definisce:
compiti e responsabilit organi e funzioni di
controllo e 'flussi informativi
modalit coordinamento e collaborazione
16
Brevi cenni sul RAF
Il RAF (Risk Appetite Framework) il quadro di riferimento che definisce la propensione al rischio, le soglie di
tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e
attuarli, in coerenza con il massimo rischio assumibile, il modello di businnes ed Piano Strategico.
o traduce la mission aziendale in variabili quali-quantitative in quanto collega i rischi alla strategia
aziendale (controllo strategico)
o traduce gli obiettivi di rischio in vincoli ed incentivi per la struttura (gestione e controllo dei rischi).
Il processo di definizione ed attuazione del RAF pu essere sinteticamente esemplificato nelle seguenti
macro fasi:
3) Controllo e reporting
17
Brevi cenni sul RAF
Integrazione e coerenza tra il RAF ed i processi aziendali di governo (Modello di business, Piano
strategico, ICAAP, budget);
Coinvolgimento nella definizione del RAF da parte dei soggetti chiamati ad attuarlo e chiara
comunicazione ala struttura con coerente sistema incentivante
18
Brevi cenni sul RAF
Definizioni
risk capacity (massimo rischio assumibile) si intende il livello massimo di rischio che la Banca tecnicamente in
grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dallAutorit di vigilanza;
risk appetite (obiettivo di rischio o propensione al rischio) si intende il livello di rischio (complessivo e per
tipologia) che la Banca intende assumere per il perseguimento dei suoi obiettivi strategici;
risk tolerance (soglia di tolleranza) si intende la devianza massima dal risk appetite consentita; la soglia di
tolleranza fissata in modo da assicurare in ogni caso alla Banca margini sufficienti per operare, anche in condizioni
di stress, entro il massimo rischio assumibile;
risk profile (rischio effettivo) si intende il rischio effettivamente assunto, misurato in un determinato istante
temporale;
risk limits (limiti di rischio) articolazione degli obiettivi di rischio in limiti operativi/indicatori di rischio definiti per
tipologia di rischio operativi
19
Brevi cenni sul RAF
RISK CAPACITY > RISK TOLERANCE > RISK APPETITE > RISK PROFILE
Scostamento
Scostamento
poco
significativo
significativo
20
Brevi cenni sul RAF
Il monitoraggio degli scostamenti tra le posizioni effettive e quelle desiderate si basa su specifiche soglie
preventivamente definite che consentono di misurare il grado di realizzazione degli obiettivi di rischio. In particolare,
le soglie, definiscono i range di valori che qualificano la rilevanza degli scostamenti rispetto allobiettivo predefinito.
Leventuale avvicinamento rispetto alla soglia di tolleranza (cfr. precedente figura) attiva differenti modalit di
gestione degli scostamenti:
Poco rilevante: in questo caso lorgano deputato autorizza e gestisce (ottimizzazione del profilo rischio-
rendimento) il superamento entro la soglia intermedia, e provvede a dare pronta informativa allorgano
deputato delle azioni gestionali intraprese per minimizzare/ottimizzare lo scostamento dagli obiettivi definiti;
Rilevante: allorgano deputato viene fornita pronta informativa circa le cause dello scostamento e sul piano di
interventi individuato/avviato per ricondurre il profilo di rischio entro lobiettivo definito e prevenire il
superamento della soglia di tolleranza. Nel caso venga richiesta la revisione degli obiettivi, lorgano deputato
delibera in merito;
Superamento della soglia di tolleranza: il mancato rispetto del massimo rischio tollerato comporta un
immediata informativa da parte della Risk Manager agli Organi aziendali al fine di attivare le azioni correttive.
(ad esempio piano di emergenza) preliminarmente definite. Tali piani vengono formalizzati in specifici
documenti (accessibili da parte di tutte le strutture potenzialmente coinvolte nella gestione delle situazioni di
emergenza), in modo tale da garantire l attuazione delle iniziative di mitigazione del rischio ( ad es.
Contingency Funding Plan, Piano di continuit operativa, Piano di conservazione del capitale).
21
Esternalizzazione di funzioni aziendali Sezione IV
22
Esternalizzazione IA Progetto di categoria
PROCESSO
23
Esternalizzazione IA Progetto di categoria
I controlli di linea e di secondo livello sono valutati in base alla loro capacit di ridurre lindice di rischiosit potenziale.
1 - adeguato
2 - in prevalenza adeguato
3 - parzialmente adeguato
4 - in prevalenza inadeguato
5 - inadeguato/assente
La valutazione complessiva dei controlli determina il rischio residuo ovvero il livello di rischiosit individuato (indice di
rischiosit potenziale - grading), ridotto (in misure percentuali predefinite - scoring) dal livello complessivo di adeguatezza
dei controlli attivati dalla banca
24
Esternalizzazione IA Progetto di categoria
Report Ordinario: Rappresentazione sintetica del livello di rischiosit potenziale del processo
Totale 11 38 15 2 66
Peso indice di rischiosita' 16,67% 57,58% 22,73% 3,03% 100%
applicabili Totale 8 38 15 2 46 20
Peso indice di rischiosita' 12,70% 60,32% 23,81% 3,17% 100%
25
Esternalizzazione IA Progetto di categoria
Report Ordinario: Rappresentazione sintetica del livello di rischiosit residua del processo
Non
5 4 2 1 0 Totale rischi
Applicabili
Fasi del processo
Pianificazione e Organizzazione 0 1 2 0 0 0 3
Concessione e Revisione 2 8 9 7 5 3 31
Revisione 0 0 0 0 0 0 0
Monitoraggio 0 2 3 6 1 0 12
Gestione del Contenzioso 0 0 0 0 0 17 17
Totale 2 11 14 13 6 17 63
Peso indice di rischiosita' 3,17% 17,46% 22,22% 20,63% 9,52% 26,98% 100%
La tabella indica per ogni fase del processo auditato il livello di rischio residuo ovvero la differenza tra i rischi
potenziali e le tecniche di controllo attuate dalla Banca
26
26
Esternalizzazione IA Progetto di categoria
% di
Indice di Indice di Rischio Indice di
N di Rischi Abbattimento
rischiosita' residuo abbattimento
valutati del Rischio
potenziale assoluto assoluto
valutato
FASE
La tabella riporta la riduzione percentuale del peso potenziale dei rischi da parte del sistema dei controlli interni
relativamente al processo auditato. Le percentuali indicate, rappresentano, quindi, lefficacia dei controlli di
linea e sulla gestione dei rischi
27
Principali novit introdotte dal 15 aggiornamento
GOVERNANCE
RISK MANAGEMENT Risk Appetite Framework COMPLIANCE
Modifica riporto della funzione Operazioni di maggiore rilievo
Collocazione organizzativa
Estensione dei poteri del Risk Management Attribuzione al Collegio Sindacale dellOdV 231/01
Definizione politiche di governo dei rischi e relativi Documento SCI Ampliamento perimetro della funzione
processi Verifica annuale compliance SCI Presidi aziendali specialistici
Rafforzamento obblighi di reporting verso Bankit Codice etico Rafforzamento obblighi reporting a Banca
Sviluppo indicatori di controllo Modalit di nomina e revoca funzioni di controllo dItalia
ORGANIZZAZIONE ICT
INTERNAL AUDIT Definizione/revisione organizzazione ICT
Approccio integrato alla gestione dei rischi
Introduzione di un modello di gestione integrata dei
Definizione dei controlli di linea
Rischi Informatici
Obblighi di reporting verso Banca dItalia
Disciplina organica in materia di esternalizzazione
Introduzione di un modello di gestione dei dati (Data
Assetto organizzativo di funzioni aziendali
Governance)
Controlli su metodologie di valutazione delle Regole e procedure per la valutazione delle attivit
Definizione/Revisione criteri specifici per
attivit, risk management, su criticit identificate lesternalizzazione di sistemi e servizi ICT ivi
Definizione percorsi formativi del personale
dalla societ di revisione legale incluso loutsourcing in modalit cloud computing
Procedure di valutazione quali quantitativa del
Pianificazione in funzioni dei rischi Obbligo di predisposizione dei Documenti aziendali
personale delle funzioni di controllo
per la gestione e il controllo ICT (Allegato A)
Esplicito riferimento a Standard internazionali per
Consulenze per le funzioni di controllo
lesercizio della professione Obbligo di reporting verso Banca dItalia dei
controlli svolti da parte dellinternal Auditing nei
Adempimenti in materia di outsourcing
confronti delloutsourcer
28
Principali novit introdotte dal 15 aggiornamento
Banca dItalia in sede di emanazione delle nuove disposizioni ha definito puntualmente i termini di adeguamento
Sono state previste scadenze differenziate a seconda dellintervento oggetto di adeguamento
2 luglio
31 dicembre 2013 1 luglio 2014 1 Febbraio 2015 1 luglio 2015 1 luglio 2016
2013
Termine Termine generale per Termine generale Termine per Termine per
Emanazione
autovalutazione e ladeguamento alle per ladeguamento alle ladeguamento del ladeguamento dei
Disposizioni di
inoltro a Bankit della disposizioni di cui al disposizioni di cui al collocamento contratti di
vigilanza
relativa relazione e Capitolo 7 (SCI) e al Capitolo 8 (Sistema organizzativo delle esternalizzazione ai
contratti di Capitolo 9 (Continuit Informativo) funzioni di controllo di requisiti previsti dalle
esternalizzazione Operativa) secondo livello (linee di disposizioni
riporto)
29
Precisazioni della Banca dItalia di giugno 2014
La Banca dItalia, con nota di giugno 2014, ha fornito ulteriori precisazioni in ordine allapplicazione del 15 aggiornamento.
Di seguito si riportano sinteticamente alcuni estratti:
Il piano di audit pluriennale dovr essere redatto e approvato entro la chiusura dellesercizio in cui la nuova disciplina divenuta
efficace;
Le politiche e le procedure di gestione delle risorse umane sono riportate in una specifica policy aziendale approvata dallorgano
con funzione di supervisione strategica;
Con riferimento al sistema dei controlli interni, nelle banche di credito cooperativo, possibile delegare alcuni compiti dellorgano
con funzione di gestione al direttore generale? Lorgano con funzione di gestione lorgano aziendale o i componenti di esso a
cui ai sensi del codice civile o per disposizione statutaria spettano o sono delegati compiti di gestione, intesa come attuazione
degli indirizzi deliberati nellesercizio della funzione di supervisione strategica. Con riferimento al sistema dei controlli interni,
lorgano con funzione di gestione assegnatario di precisi compiti e responsabilit previsti nella Sezione II, par. 3, non delegabili
ad altri soggetti fra cui anche il direttore generale, che rappresenta il vertice della struttura interna dellintermediario;
Nelle banche di piccole dimensioni o a limitata complessit operativa, sprovviste di un amministratore delegato e di un comitato
esecutivo, le funzioni aziendali di controllo di secondo livello possono essere collocate a riporto gerarchico del direttore
generale? Le funzioni aziendali di controllo di secondo livello devono essere collocate alle dirette dipendenze dellorgano con
funzione di gestione. Il direttore generale, pur partecipando alla funzione di gestione, non pu essere identificato con lorgano
stesso che, invece, nei casi prospettati da individuarsi nel consiglio di amministrazione.
Sistema informativo affidato in full outsourcing tenuto conto del principio di proporzionalit, per le verifiche sui componenti o
servizi ICT esternalizzati, la funzione di audit dellintermediario possa scegliere, sotto la propria responsabilit, di fare affidamento
sullinternal audit del fornitore di servizi, previa valutazione della sua professionalit e indipendenza
30
Precisazioni della Banca dItalia di giugno 2014
Esternalizzazione della funzione di internal audit ed il ruolo di referente per lattivit esternalizzata Al referente per le funzioni
aziendali di controllo esternalizzate si applicano le disposizioni previste nella Sezione III, par. 1, lett. b), fra cui la possibilit che
possa essere un componente dellorgano amministrativo, purch sia destinatario di specifiche deleghe in materia e non sia
destinatario di altre deleghe che ne pregiudichino lautonomia;
Nelle realt non complesse (banche medio piccole) risulta frequente il ricorso all'outsourcing di diverse attivit; in tali casi,
coerente con il principio di proporzionalit la nomina di un solo referente o necessario individuare un referente per ogni attivit
esternalizzata? per le banche di minori dimensioni e a ridotta complessit operativa, non vi sono elementi ostativi
allesternalizzazione di pi funzioni aziendali con individuazione di un solo referente interno, purch siano rispettati i limiti
espressamente previsti dalla disciplina (ad esempio, divieto di cumulare controlli di secondo e terzo livello, o attivit operative e
attivit di controllo) e il referente sia effettivamente in grado di svolgere efficacemente il proprio ruolo con riguardo a pi attivit
esternalizzate.
31