1. 2 sulla base dell’impianto metodologico e dei principi di riferimento del progetto di categoria...
TRANSCRIPT
1
2
Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo” si è dato corso, con BCC Multimedia, alla realizzazione dello strumento applicativo:
per il supporto alle attività di Internal Auditing delle Federazioni locali per l’analisi dei rischi e dei controlli nelle BCC
Obiettivi di A.R.Co. Garantire un approccio omogeneo, in termini di metodo, di prassi operative e
di reportistica Conseguire una maggiore efficacia ed efficienza dei servizi di audit delle delle
Federazioni locali: sia nelle attività sul campo, sia in quelle di back-office Svolgere le attività di audit secondo una logica di trasparenza verso le BCC,
garantendo la tracciabilità dei controlli Superare la “distanza” con la banca, assicurando la continuità dell’attività di
controllo e il monitoraggio degli interventi effettuati dalla BCC Consentire la gestione e l’aggiornamento dei contenuti e del sistema a
livello centrale
A.R.Co. (Analisi Rischi e Controlli)
3
Maggiore velocità e completezza delle attività sul campo
Operatività da qualsiasi postazione (presso BCC o Federazione)
Accresciuta capacità di analisi e storicizzazione dei dati
Gestione della pianificazione e degli archivi “multibanca”
TECNOLOGIA WEB
CONDIVISIONE DELLE CONOSCENZE CONDIVISIONE DELLE CONOSCENZE
ee
MIGLIORAMENTO DEI PROCESSI DI LAVOROMIGLIORAMENTO DEI PROCESSI DI LAVORO
È comunque possibile “lavorare” i rischi in
modalità off-line
4
Alcune funzionalità dell’applicativo… Modulo Banca - E’ stato realizzato per dare la possibilità alle BCC di
condurre la propria autodiagnosi, sia in termini di Rischi che di Controlli. Utilizzo diversificato delle check-list - attraverso diverse “denominazioni”
dei rischi (analizzabili / da non analizzare; assegnati / non assegnati; applicabili / non applicabili; valutati / non valutati).
Possibilità di inserire rischi personalizzati (rischi “custom”) - in presenza di specifiche esigenze l’amministratore può aggiungere rischi “ad hoc” ai processi auditati. Tali rischi, a disposizione della Federazione che li ha immessi, possono anche essere portati all’attenzione della Commissione Controlli e qualora “validati” entrare a far parte delle check-list di Categoria.
Sezione “Documentazione” - in quest’area possono essere inseriti e gestiti, associandoli ad ogni singola banca, i documenti utilizzati o visionati nel corso dell’attività di auditing.
Classificazione dei rischi operativi per tipologia di eventi di perdita secondo Basilea 2 (Frode interna; Frode esterna; Rapporto di impiego e sicurezza sul lavoro; Clientela, prodotti e prassi di business; Danni a beni materiali; Interruzioni dell’operatività e disfunzioni dei sistemi informatici; Esecuzione, Consegna e gestione dei processi).
5
Alcune funzionalità dell’applicativo… D.Lgs 231/2001 - identificazione dei rischi il cui adeguato presidio implica un
rispetto dei protocolli organizzativi definiti a livello di Categoria nel corso del Progetto sul D.Lgs 231 - disciplina sulla “Responsabilità amministrativa degli enti”.
Nella conduzione di verifiche di “Follow-up”, visualizzazione automatica dei rischi compilati nel corso di un precedente intervento.
Alcune novità introdotte con “A.R.Co. 2”… Nuovi processi di verifica:
“Piano Integrativo”, per ottimizzare il recepimento delle nuove check list inserite nell’applicativo;
“Piano Normativo”, per effettuare verifiche “trasversali” ai processi, nell’ottica di rendere ARCo più funzionale alla verifica dei rischi di conformità alle norme;
“Piano Filiali”, per effettuare verifiche sullo stesso processo per le diverse filiali della Banca.
Potenziamento dell’utenza Banca: possibilità di pianificare autonomamente le attività di verifica condotte internamente e di storicizzare i controlli effettuati
6
La struttura dell’applicativo “A.R.Co.”
In A.R.CO. sono censiti tutti i 20 processi (suddivisi in fasi, sottofasi e attività)
rilasciati nell’ambito del Progetto di Categoria sul Sistema dei Controlli Interni.
7
La struttura dell’applicativo “A.R.Co.”
Rischio Rischio ii
Rischio Rischio 11
Rischio Rischio 22
Fase 2Fase 2 Fase 1Fase 1 Fase iFase i Fase nFase n
Approccio Approccio
““RISK BASED”RISK BASED”
Impatto dei rischi
Mitigazione dei rischi
Controlli di linea
Controlli di linea
Controlli sulla gestione dei
rischi, di conformità
Controlli sulla gestione dei
rischi, di conformità
Controlli Internal Auditing
Controlli Internal Auditing
Basso Medio Alto Continuità
FR
EQ
UE
NZ
A Alt
oM
ed
ioB
ass
o
PESO
Indice di rischiosità
8
Basso Medio Alto Continuità
FR
EQ
UE
NZ
A Alt
a M
edia
Bas
sa
PESO
Indice di rischiosità potenziale
LA METODOLOGIA “RISK BASED”
I rischi sono stati valutati in modo qualitativo attraverso l’analisi di due parametri:
il “peso” (Continuità, Alto, Medio, Basso) si riferisce all’intensità del danno potenzialmente derivante dalla manifestazione del rischio
la “frequenza” (Alta, Media, Bassa) si riferisce alla stima del numero di volte in cui il rischio potrebbe manifestarsi all’interno della gestione delle fasi analizzate ovvero la ricorrenza potenziale del rischio all’interno del processo
La valutazione complessiva del rischio ha portato alla definizione di un indice di rischiosità potenziale (grading), che contempla l’effetto congiunto dei due parametri indicati
9
LA METODOLOGIA “RISK BASED”
Abbatte nella misura percentuale sopradefinita
l’Indice di Rischiosità potenziale (grading)
AltoAltoAlto
AltaMediaBassa
100
605040
302015
AltaMediaBassa
MedioMedioMedio
AltaMediaBassa
BassoBassoBasso
AltaMediaBassa
ContinuitàContinuitàContinuità
807570
0
1
2
4
5
1/11
11/27
27/54
54/80
80/100
Pesorischio
Frequenzarischio
Valutazione tecniche di controllo
IndiceRischiositàPotenziale
RischioResiduo Scoring=+ = -
Adeguato
In Prevalenza Adeguato
Parzialmente Adeguato
In Prevalenza Inadeguato
Inadeguato / Assente
- 90%
- 70%
- 45%
- 20%
- 0%
10
LA METODOLOGIA “RISK BASED”Determinazione dell’Indice di Rischiosità Valutazione delle “Tecniche di controllo”
PesoFrequenza probabilità
Indice rischiosità potenziale
Assente inadeguato
In prevalenza inadeguato
Parzialmente adeguato
In prevalenza adeguato
Adeguato
Continuità ALTO
100 5 5 4 2 0MEDIO
BASSO
Alto ALTO 80 4 4 2 1 0
MEDIO 75 4 4 2 1 0
BASSO 70 4 4 2 1 0
Medio ALTO 60 4 2 2 1 0
MEDIO 50 2 2 2 1 0
BASSO 40 2 2 1 1 0
Basso ALTO 30 2 1 1 0 0
MEDIO 20 1 1 0 0 0
BASSO 15 1 1 0 0 0
11
LA METODOLOGIA “RISK BASED”
Ad ogni intervallo di rischio residuo è associato un valore sintetico (SCORING)
che esprime un diverso grado di rischiosità, secondo la seguente legenda:
4
2
1
0
La tecnica di controllo in essere risulta essere assente o inadeguata a ridurre il rischio ad un livello accettabile
La tecnica di controllo non appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile
La tecnica di controllo appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile, ancorché risulta essere migliorabile
La tecnica di controllo appare adeguata a ridurre il rischio ad un livello accettabile
5La tecnica di controllo in essere sui rischi di continuità aziendale, ossia rischi che possono pregiudicare la capacità di sopravvivenza dell’azienda, risulta essere assente, inadeguata o in prevalenza inadeguata a ridurre il rischio ad un livello accettabile
12
LE FUNZIONALITÀ PRINCIPALI
METODOLOGIA – sezione in cui sono visualizzabili le informazioni definite, relative a Processi, Categorie di Rischio, Fattori Qualificanti, Albero Normativo.
AUDITING – sezione che consente la pianificazione degli interventi di audit, la creazione e l’effettiva gestione delle verifiche, la generazione dei report.
RISCHI/CONTROLLI – agevola le ricerche su rischi e verifiche; consente di effettuare statistiche di vario genere incrociando diversi parametri (anni, piani, banche…).
DOCUMENTAZIONE – sezione per inserire e gestire la documentazione relativa alle banche auditate.
UTENTI – attraverso tale sezione l’amministratore può gestire gli utenti di A.R.Co.: inserirne di nuovi, modificarne i profili, eliminarli o ricercarli.
BANCHE – sezione per gestire le banche sotto contratto attraverso una serie di informazioni (nome, cod.ABI, scadenza contratto, referente interno, ecc.).
EXTRA – sezione con diverse funzioni: gestione delle “unità organizzative”, dei rischi “custom”, della lista Filiali, della lista Categorie, dei Report Auditor.
PASSWORD – sezione per la gestione delle password di accesso ad A.R.Co.
Struttura dell’applicativo – le sezioni
13
Il c.d. “modulo banca” è stato realizzato per consentire alle BCC di condurre la propria autodiagnosi, in termini di valutazione dei rischi e dei controlli interni alla banca. La diversa periodicità dei controlli interni, in particolare sulla gestione dei rischi, ha determinato la necessità di rimodulare l’applicativo rendendo indipendente la pianificazione e la storicizzazione di tali controlli rispetto alla tempistica delle verifiche dei piani di audit.
È possibile produrre anche un report per la consuntivazione e verifica dell’attività di Risk Self Assessment effettuata, in termini di valutazione dei rischi e dei relativi controlli, e la produzione di report di consuntivazione degli stessi. La BCC ovvero gli utenti abilitati possono, infatti, relativamente ai controlli di linea, sulla gestione dei rischi, e di conformità, descrivere le attività necessarie al presidio dei rischi e generare la relativa reportistica.
L’utilizzo di A.R.Co. in BCCLE FUNZIONALITÀ PRINCIPALI
14
Il flusso di lavoro dell’Internal Auditing
LE FUNZIONALITÀ PRINCIPALI
ARCo è stato progettato sulla base dell’effettivo flusso di lavoro logico necessario a realizzare un intervento di Audit. Il suo utilizzo, quindi, prevede i seguenti passaggi:
il censimento della Banca e degli utenti da parte dell’Amministratore la creazione da parte dello stesso dei Piani di audit e delle relative verifiche l’assegnazione delle verifiche agli auditors l’audit dei rischi presenti nella singola verifica e la consultazione dei controlli in
essere, compilati dalla Banca la creazione dei report
15
La pianificazione delle verifiche
LE FUNZIONALITÀ PRINCIPALI
Il Piano di audit può contenere più verifiche
Una verifica può essere relativa soltanto ad un unico processo*
Il processo può essere auditato da diversi auditors; la procedura consente comunque la creazione di un unico Report ordinario
Il Piano di audit di “follow up” può contenere sia verifiche di processi auditati nel piano standard, sia nuove verifiche
Nella conduzione di un’attività di follow-up visualizzazione automatica dei rischi compilati nel corso del precedente intervento
* Unica eccezione: nel “piano filiali” è possibile effettuare più verifiche sullo stesso processo per le diverse filiali della banca
Attraverso questa funzionalità vengono progettate tutte le attività di auditing relative ad una BCC per uno specifico anno, ovvero si configura il piano di azione del Servizio di Internal Auditing della Federazione.
16
La pianificazione delle verifiche – il perimetro dell’intervento di audit
LE FUNZIONALITÀ PRINCIPALI
I rischi associati alla verifica rappresentano il perimetro dell’intervento di audit.
Federazione(amministratore)
Federazione/BCC Auditor
da non analizzare
analizzabile assegnato applicabile valutato
non valutato
non applicabile
non assegnato
Il rischio “da non analizzare” è il rischio che il Responsabile del servizio di Internal Audit decide di non valutare per tutte le BCC che hanno esternalizzato il servizio alla FL.
Il rischio “non assegnato” è il rischio che il Responsabile del servizio di Internal Audit di concerto con la banca decide di non valutare e viene pertanto escluso dalle verifiche.
Il rischio “non applicabile” è il rischio che non è presente all’interno della banca.
Il rischio “non valutato” è il rischio che è stato assegnato alla verifica ma non è stato valutato sul campo per problemi contingenti.
17
LE FUNZIONALITÀ PRINCIPALI
La conduzione delle verifiche – analisi dei rischi
Un rischio elementare viene identificato attraverso i seguenti elementi::
descrizione del rischio categoria di rischio peso e frequenza fattore qualificante del sistema dei controlli interni controlli di linea (controlli di impianto e comportamentali) controlli sulla gestione dei rischi (controlli di secondo livello) controlli di Internal auditing (descrizione attività internal auditing)
18
I fattori qualificanti del Sistema dei Controlli interniRappresentano fattori critici del SCI, la cui inosservanza può determinare disfunzioni che possono tradursi “in notevoli perdite per le banche” di natura economico, patrimoniale e di immagine. Il concetto di adeguatezza si fonda sull’esperienza dei fattori che testimoniano “uno scarso rigore” nei controlli interni e che quindi, si sono rilevati inadeguati ad assicurare una gestione sana, imparziale e trasparente delle attività aziendali.Il modello si basa sulle caratteristiche del controllo interno messo a punto dal c.d. CoSO Report (il CoSO Report sintetizza i risultati del progetto USA commissionato dalla Treadway Commissione of Sponsoring Organization sul tema della corporate governance e del sistema dei controlli interni) il quale è costituito da una serie di fattori qualificanti :1) L’ambiente di controllo è rappresentato dalla sensibilità dei vertici aziendali nella
definizione di un adeguato ambiente di controllo 2) La valutazione dei rischi, ossia il processo continuo di identificazione e di analisi di
quei fattori che possono pregiudicare il raggiungimento degli obiettivi aziendali3) La struttura dei controlli consiste nelle modalità con cui vengono strutturati i diversi
livelli di controllo necessari all’interno della banca (di linea, sulla gestione dei rischi e di revisione interna)
4) Informazioni e comunicazioni, ossia il processo di gestione del flusso informativo (qualità, tempestività, completezza e integrità delle informazioni)
5) L’attività di monitoraggio consiste nella capacità della banca di presidiare in modo continuativo, il Sistema dei Controlli Interni, nonché di attivare gli interventi migliorativi definiti al fine di risolvere le principali criticità rilevate ed in particolare nell’incisività della banca nel rimuovere le anomalie.Ogni rischio è “agganciato” ad uno o più elementi dei singoli fattori qualificanti.
19
LE FUNZIONALITÀ PRINCIPALI
La conduzione delle verifiche – la valutazione dei controlli
I controlli di linea e sulla gestione dei rischi sono valutati in base alla loro capacità di ridurre l’indice di rischiosità potenziale.
La scala di valutazione qualitativa dei controlli esistenti è la seguente:
1. Adeguato2. In prevalenza adeguato3. Parzialmente adeguato4. In prevalenza inadeguato5. Inadeguato/assente
La valutazione complessiva dei controlli determina il “rischio residuo” ovvero il livello di rischiosità individuato (indice di rischiosità potenziale) ridotto (in misure percentuali predefinite) dal livello complessivo di adeguatezza dei controlli attivati dalla banca. Il Rischio Residuo si traduce nello “scoring”.
Scoring Scoring (rischio residuo)(rischio residuo) = Indice di rischiosità – valutazione controlli = Indice di rischiosità – valutazione controlli
20
LE FUNZIONALITÀ PRINCIPALILa conduzione delle verifiche – utilizzo off-lineÈ possibile auditare i rischi anche in modalità off line. In questo modo è possibile lavorare senza essere collegati ad A.R.Co., utilizzando un file Access (con maschere guidate):
la maschera, per ciascun rischio, conterrà le stesse informazioni che si trovano sulla versione online, relativamente alle tre tipologie di controllo
possibilità di generare un report riepilogativo delle attività svolte in merito alla valutazione dei controlli di linea e sulla gestione dei rischi
Selezione rischi da “esportare”
Lavorazione deiRischi OFF-LINE
Importazione deiRischi in ARCo
Report off-line
• Il file access ha un codice identificativo/nome univoco e riconoscibile.
• Per ciascun rischio in lavorazione non è disponibile lo storico delle valutazioni ma solo quella precedente in caso di Followup.
21
Predisposto al termine di un intervento di audit su un processo, ha la finalità di valutare i presidi attivati al fine di controllare e mitigare i rischi relativi al processo auditato e di indicare i punti di debolezza individuati nel processo suggerendo eventuali interventi volti a innalzare la sicurezza e la qualità del Sistema dei Controlli.
La struttura del documento
1. DEFINIZIONE DEGLI OBIETTIVI DELL’INTERVENTO (le finalità dell’intervento)
2. GIUDIZIO COMPLESSIVO (la valutazione complessiva dell’audit sul processo)
3. PRINCIPALI ELEMENTI DI CRITICITA’ (con i suggerimenti idonei per la rimozione)
4. ATTIVITA’ SVOLTE (descrizione delle attività di auditing effettuate)
5. LIMITI DELL’INTERVENTO (indicazione di specifici limiti connessi ad esempio alla indisponibilità di documenti e/o informazioni necessarie per l’obiettivo di audit o alla carenza nella collaborazione)
6. METODOLOGIE UTILIZZATE (nella conduzione dell’attività di revisione interna)
APPROFONDIMENTI
SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO
SEZIONE II - MASTER PLAN DEGLI INTERVENTI
SEZIONE III - PRINCIPALI DOCUMENTI ANALIZZATI
SEZIONE IV - METODOLOGIA RISK BASED
La reportistica - IL REPORT ORDINARIO
22
SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO
IL REPORT ORDINARIO - APPROFONDIMENTI
La tabella 1 indica per ogni fase del processo auditato il livello di rischiosità potenziale standard (in relazione alle check list rilasciate nell’ambito del progetto di Categoria sul Sistema dei Controlli Interni)
La tabella 1 bis indica per ogni fase del processo auditato il livello di rischiosità potenziale dei rischi che sono stati inseriti nel Piano di audit. Sono quindi evidenziati anche i rischi “non applicabili”
23
RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ RESIDUALE DEL PROCESSO
Nella tabella 2 sono classificati, per ogni fase del processo auditato, i rischi residui ovvero gli scoring dei rischi valutati, attraverso la differenza tra rischi potenziali (tabella 1 bis) e tecniche di controllo attuate dalla banca sul processo esaminato.
La tabella 3 evidenzia la suddivisione dei rischi per scoring associata alla valutazione iniziale del rischio (indice di rischiosità potenziale). Fornisce quindi alla banca un supporto nella definizione delle priorità di intervento nel percorso di adeguamento dei Controlli Interni. Dovrà essere data priorità alle implementazioni relative ai rischi con scoring maggiore.
ABBATTIMENTO LIVELLO RISCHIOSITÀ POTENZIALE
IL REPORT ORDINARIO - APPROFONDIMENTI
24
ABBATTIMENTO PERCENTUALE DEL RISCHIO VALUTATO
La tabella 4 riporta la riduzione percentuale del peso potenziale dei rischi da parte del sistema dei controlli interni relativamente al processo “auditato”. Le percentuali indicate, rappresentano dunque l’efficacia del presidio dei controlli di “linea e sulla gestione dei rischi”
La tabella 4 bis riporta la riduzione percentuale del peso potenziale dei rischi assegnati alla verifica: a differenza della tabella precedente sono quindi considerati anche i rischi “non valutati”
IL REPORT ORDINARIO - APPROFONDIMENTI
25
COMPLESSITÀ INTERVENTI PER SCORING
La tabella 5 sintetizza gli interventi suggeriti dall’Internal Audit per la rimozione delle anomalie riscontrate: gli interventi sono classificati sulla base della priorità di implementazione determinata dallo Scoring del rischio residuo da presidiare.
IL REPORT ORDINARIO - APPROFONDIMENTI
26
1. PREMESSA2. RESPONSABILITÀ3. OBIETTIVO4. RIEPILOGO DELLE ATTIVITÀ SVOLTE5. LIMITI DEGLI INTERVENTI6. EVIDENZA DELLE PRINCIPALI CRITICITÀ E VALUTAZIONE DELLA
FUNZIONALITÀ DEL COMPLESSIVO SISTEMA DEI CONTROLLI INTERNI 7. PROPOSTA DELLE LINEE GUIDA DEL SUCCESSIVO PIANO DI AUDIT
APPROFONDIMENTI
QUADRO SINOTTICO DI VALUTAZIONE del S.C.I. (CoSO REPORT)
La struttura del documento
IL REPORT CONSUNTIVO
Ha la finalità di riepilogare le attività svolte dal servizio di Internal Auditing in un determinato periodo di riferimento, aggiornare in merito alla rimozione delle anomalie riscontrate, nonché fornire indicazioni sulla funzionalità complessiva del Sistema dei Controlli Interni.
27
Rappresentazione del livello di rischiosità residuale dei processi
Processi5 4 2 1 0 Non valutati Totale rischi
Gestione delle attività sui mercati finanziari 2 15 41 2 4 0 64
Gestione del credito 12 15 22 3 1 0 53
Incassi e pagamenti 1 2 13 21 3 0 40
Gestione del risparmio 1 22 11 3 0 0 37
Sviluppo del Mercato 1 11 13 4 1 0 30
Totale17 65 100 33 9 0 224
Peso indice di rischiosita' 7,6% 29,0% 44,6% 14,7% 4,0% 0,0% 100,0%
Indice di rischiosita' residuale (scoring)
IL REPORT CONSUNTIVO
28
Ha la finalità di valutare le caratteristiche strutturali del Sistema dei Controlli Interni, ovvero l’adeguatezza di quei fattori che assicurano una gestione sana, imparziale e trasparente delle attività aziendali. Le caratteristiche sono:
Rappresentazione per tipologia di processo (governo,mercato,infrastrutturale)
Calcolo automatico del valore associato ai singoli elementi dei fattori qualificanti
Il valore dei singoli elementi è rappresentato dallo scoring corrispondente alla media aritmetica dei Rischi Residui
Il quadro sinottico di valutazione del SCI – il CoSO Report
IL REPORT CONSUNTIVO
29
Il quadro sinottico di valutazione del SCI – la struttura
IL REPORT CONSUNTIVO
30
Fornisce, per ogni singola verifica, una stampa analitica delle informazioni censite nella maschera “rischio” ovvero i dati richiesti dall’auditor in relazione a:
controlli di linea
controlli sulla gestione dei rischi
attività di internal audit
La reportistica – il report di massimo dettaglio
LE FUNZIONALITÀ PRINCIPALI