master aml sci 1x - airant.it · dei rischi, dall'altro a valutare la funzionalità del...
TRANSCRIPT
MASTER AMLP
1
MASTER AMLP
2
AGENDAAGENDA
REGOLE E BEST PRACTICE
ERM
SCI NELLA NORMATIVA DI VIGILANZA
DISEGNO DEL NUOVO SCI
VALUTAZIONE DEL SCI
REGOLE E BEST PRACTICE
3
Nuovo accordo sul capitale – Basilea 2
Paper Comitato di Basilea
Disposizioni di vigilanza prudenziale Circ. 263/07
Istruzioni di vigilanza
Disposizioni di vigilanza sulla funzione di conformità
Regolamento Congiunto Bankit-Consob
Disposizioni sull’organizzazione e sul governo societario
Comitato di Basilea, Schema per i sistemi di controllo interno nelle organizzazioni bancarie
Co SO Report, Committee of Sponsoring Organisations of the Treadway CommissionERM, Committee of Sponsoring Organisations of the Treadway Commission
4
Co So Report
ERM
REGOLE E BEST PRACTICE
REGOLE E BEST PRACTICE
5
REGOLE E BEST PRACTICE
6
REGOLE E BEST PRACTICE
7
RISCHIO
REGOLE E BEST PRACTICE
8
REGOLE E BEST PRACTICE
9
MASTER AMLP
10
AGENDAAGENDA
REGOLE E BEST PRACTICE
ERM
SCI NELLA NORMATIVA DI VIGILANZA
DISEGNO DEL NUOVO SCI
VALUTAZIONE DEL SCI
11
COMPONENTI DEL SCI
1. AMBIENTE DI CONTROLLO
2. VALUTAZIONE DEI RISCHI
3. ATTIVITA’ DI CONTROLLO
4. INFORMAZIONI E COMUNICAZIONE
5. MONITORAGGIO
Il controllo interno non è un procedimento sequenziale, bensì un processo ITERATIVO E MULTIDIREZIONALE in cui ogni componente puòinfluire su un altro, indipendentemente dalla sequenza del processo.
ERM
ERM
12
RAPPORTO FRA OBIETTIVI E COMPONENTI
• Il rapporto tra obiettivi e componenti viene raffigurato con una matrice tridimensionale;
• Il controllo interno si applica all’azienda nel suo complesso oppure a una qualunque delle sue unità o processi.
ERM
13
ERM
14
ERM
15
ERM – ENTERPRISE RISK MANAGEMENT
E’ un framework che è stato proposto nel 2004 dal Coso of the Tradeway commission allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa attraverso un modello integrato che intende comprendere tutti i rischi aziendali
ERM
16
E’ un processo posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura, utilizzato per la formulazione della strategia nell’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi aziendali
COS’E’ L’ERM
ERM
17
• E’ un processo interrelato con i sistemi di corporate governance
• Posto in essere ai vari livelli dell’organizzazione nella formulazione delle strategie e dei programmi aziendali
• DETERMINA CONSAPEVOLEZZA degli obiettivi che l’organizzazione intende raggiungere e degli ostacoli potenziali
• Permette di verificare l’allineamento fra il profilo di rischio che connota l’organizzazione e il risk appetite (propensione al rischio)
• Sviluppare piani di controllo dei rischi non accettabili
CARATTERISTICHE DELL’ERM
ERM
18
ERM
19
DEFINIZIONE DEGLI OBIETTIVI
IDENTIFICAZIONE EVENTI
VALUTAZIONE RISCHI
RISK RESPONSE
INFORMAZIONE & COMUNICAZIONE
MONITORING
ATTIVITA’ DI CONTROLLO
AMBIENTE INTERNO
COMPONENTI DELL’ERM
ERM
20
CONOSCERE I RISCHI
VALUTARE I RISCHI
GESTIRLI
MONITORAGGIO
REPORTINGASSEGNAZIONE
OBIETTIVI
RUOLO DEL MANAGEMENT
ERM
21
ERM
22
ERM
23
ERM
24
ERM
25
ERM
26
ERM
27
ERM
28
ERM
29
ERM
30
ERM
31
ERM
32
ERM
33
ERM
34
MASTER AMLP
35
AGENDAAGENDA
REGOLE E BEST PRACTICE
ERM
SCI NELLA NORMATIVA DI VIGILANZA
DISEGNO DEL NUOVO SCI
VALUTAZIONE DEL SCI
36
Al fine di fronteggiare i rischi a cui possono essere esposte, le banche si dotano di idonei dispositivi di governo societario e di adeguati meccanismi di gestione e controllo.
Circ. 263/07 Banca d’Italia
SCI NELLA NORMATIVA DI VIGILANZA
37
I presidi devono coprire ogni tipologia di rischio aziendale coerentemente con le caratteristiche, le dimensioni e la complessità delle attivitàsvolte dalla banca.
Circ. 263/07 Banca d’Italia
SCI NELLA NORMATIVA DI VIGILANZA
38
Le banche formalizzano le politiche per il governo dei rischi, procedono al loro riesame periodico al fine di assicurarne l’efficacia nel tempo e vigilano sul concreto funzionamento dei processi di gestione e controllo dei rischi.
Circ. 263/07 Banca d’Italia
SCI NELLA NORMATIVA DI VIGILANZA
39
Reg. Congiunto Banca d’Italia - Consob
Si sostanzia nelle strategie, politiche, processi e meccanismi riguardanti l’individuazione, l’assunzione, la gestione, la sorveglianza e l’attenuazione dei rischi a cui l’intermediario è o potrebbe essere esposto e per determinare e controllare il livello di rischio tollerato.
SCI NELLA NORMATIVA DI VIGILANZA
40
DISPOSITIVI DI GOVERNO SOCIETARIO
INDIVIDUAZIONE DI TUTTE LE TIPOLOGIE DI RISCHIO
POLITICHE DI RISCHIO
DETERMINAZIONE LIVELLO DI RISCHIO TOLLERATO
ASSUNZIONE, SORVEGLIANZA, MITIGAZIONE
PROCESSI DI GESTIONE E CONTROLLO
SCI NELLA NORMATIVA DI VIGILANZA
41
Criterio di esercizio del potere da parte delle Autorithies adeguato al raggiungimento del fine con minor sacrificio degli interessi dei destinatari. Applicazione della disciplina da parte degli intermediari che tenga conto delle specificitàdimensionali e operative.
SCI NELLA NORMATIVA DI VIGILANZA
42
Valorizzazione dell’autonomia decisionale degli intermediari ai quali è riservata l’autodeterminazione di politiche, procedure, codici etici e di condotta per ottemperare al disposto normativo.
SCI NELLA NORMATIVA DI VIGILANZA
43
Facoltà lasciata agli operatori di posizionarsi discrezionalmente sul mercato competitivo.
La disciplina fissa obiettivi e requisiti minimali, lasciando liberi gli operatori di definire i propri modelli gestionali.
SCI NELLA NORMATIVA DI VIGILANZA
44
La nuova sfida per le banche è sviluppare strategie incardinate sul governo dei rischi.Si rileva un deciso spostamento dell’attenzione della vigilanza sugli elementi di governance, organizzazione e autovalutazione.
SCI NELLA NORMATIVA DI VIGILANZA
45
Organo con funzione di supervisione strategicaOrgano con funzione di gestione
Organo con funzioni di controllo
La normativa prudenziale ed il regolamento congiunto sono sostanzianzialmente convergenti per
sulla definizione dell’assetto societario.
SCI NELLA NORMATIVA DI VIGILANZA
46
Il sistema dei controlli interni è costituito dall'insieme
delle regole, delle procedure e delle strutture
organizzative che mirano ad assicurare il rispetto delle
strategie aziendali.
Il sistema dei controlli interni è costituito dall'insieme
delle regole, delle procedure e delle strutture
organizzative che mirano ad assicurare il rispetto delle
strategie aziendali.
Istr. di vigilanza, Tit. IV. Cap. 11
SCI NELLA NORMATIVA DI VIGILANZA
47
Il Sistema dei Controlli Interni mira al conseguimento delle
seguenti finalità:
• efficacia ed efficienza dei processi aziendali (amministrativi,
produttivi, distributivi)
• salvaguardia del valore delle attività e protezione dalle perdite
• affidabilità e integrità delle informazioni contabili e gestionali
• conformità delle operazioni con la legge, la normativa di
vigilanza nonché con le politiche, i piani, i regolamenti e le
procedure interne.
Il Sistema dei Controlli Interni mira al conseguimento delle
seguenti finalità:
• efficacia ed efficienza dei processi aziendali (amministrativi,
produttivi, distributivi)
• salvaguardia del valore delle attività e protezione dalle perdite
• affidabilità e integrità delle informazioni contabili e gestionali
• conformità delle operazioni con la legge, la normativa di
vigilanza nonché con le politiche, i piani, i regolamenti e le
procedure interne.Istr. di vigilanza, Tit. IV. Cap. 11
SCI NELLA NORMATIVA DI VIGILANZA
48
I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il
collegio sindacale, la direzione e tutto il personale.
Essi costituiscono parte integrante dell'attività quotidiana della
banca.
I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il
collegio sindacale, la direzione e tutto il personale.
Essi costituiscono parte integrante dell'attività quotidiana della
banca.
Istr. di vigilanza, Tit. IV. Cap. 11
SCI NELLA NORMATIVA DI VIGILANZA
49
Le soluzioni organizzative tipiche dell’assetto dei controlli interni devono:
assicurare la necessaria separatezza tra le funzioni operative e di controlloessere in grado di identificare, misurare e monitorare adeguatamente tutti i rischi assunti o assumibili nei diversi segmenti operatividefinire attività di controllo a ogni livello operativo e consentire l'univoca e formalizzata individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di correzione delle irregolarità riscontrateassicurare sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli direzionali ai quali sono attribuite funzioni di controllogarantire che le anomalie riscontrate dalle unità operative, dalla funzione di revisione interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di livelli appropriati dell'azienda consentire la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo temporale.
SCI NELLA NORMATIVA DI VIGILANZA
50
Le banche la cui operatività lo richieda valutano l'opportunità di
concentrare le funzioni di misurazione e controllo integrato dei rischi in
una autonoma struttura.
Tale unità può essere affiancata agli eventuali comitati di gestione dei
diversi profili di rischio (ad esempio, al comitato per il rischio di credito,
al comitato di liquidità, al comitato per l'asset and liability management).
In tal caso sono chiaramente definite le diverse responsabilità e le
modalità di intervento, in modo da garantire la completa indipendenza
dell'unità dal processo di gestione operativa dei rischi.Istr. di vigilanza, Tit. IV. Cap. 11
SCI NELLA NORMATIVA DI VIGILANZA
51
L'attività di revisione interna nelle banche deve essere svolta da una
funzione indipendente (internal audit) volta da un lato a controllare,
anche con verifiche in loco, la regolarità dell'operatività e l'andamento
dei rischi, dall'altro a valutare la funzionalità del complessivo sistema dei
controlli interni e a portare all'attenzione del consiglio di amministrazione
e dell'alta direzione i possibili miglioramenti alle politiche di gestione dei
rischi, agli strumenti di misurazione e alle procedure.
Istr. di vigilanza, Tit. IV. Cap. 11
SCI NELLA NORMATIVA DI VIGILANZA
SCI NELLA NORMATIVA DI VIGILANZA
52
PRINCIPI BASILEA
Principio 1
Rientra nella responsabilità del consiglio di amministrazione approvare e riesaminare periodicamente le strategie operative globali e lepolitiche rilevanti dell’istituzione; conoscere i principali rischi assunti dalla banca, stabilire i livelli accettabili di tali rischi e assicurarsi che l’alta direzione adotti le misure necessarie per individuare, misurare, monitorare e controllare i rischi stessi; approvare la strutturaorganizzativa; assicurarsi che l’alta direzione verifichi l’efficacia del sistema di controllo interno. Al consiglio di amministrazione spetta in ultima istanza il compito di assicurare che sia istituito e mantenuto un sistema adeguato ed efficace di controlli interni.
SCI NELLA NORMATIVA DI VIGILANZA
53
PRINCIPI BASILEA
Principio 2
Rientra nella responsabilità dell’alta direzione dare attuazione alle strategie e alle politiche approvate dal consiglio di amministrazione; istituire processi atti a individuare, misurare, monitorare e controllare i rischi assunti dalla banca; mantenereuna struttura organizzativa che individui chiare responsabilità, competenze e relazioni gerarchiche; assicurarsi che le funzioni delegate siano efficacemente assolte; definire appropriate politiche di controllo interno; verificare l’adeguatezza e l’efficacia del sistema di controllo interno.
SCI NELLA NORMATIVA DI VIGILANZA
54
PRINCIPI BASILEA
Principio 3
Il consiglio di amministrazione e l’alta direzione hanno la responsabilità di promuovere elevati standard etici e di integritàe di creare una cultura aziendale che valorizzi e dimostri a tutto il personale l’importanza dei controlli interni. È necessario che tutto il personale di un’organizzazione bancaria abbia chiara cognizione del proprio ruolo nel processo di controllo interno esia pienamente impegnato nel processo medesimo.
SCI NELLA NORMATIVA DI VIGILANZA
55
PRINCIPI BASILEA
Principio 4
Un efficace sistema di controllo interno richiede che siano individuati e costantemente valutati i rischi sostanziali che potrebbero influire negativamente sul conseguimento degli obiettivi aziendali. La valutazione deve estendersi a tutti i rischi cui sono esposte la banca e l’organizzazione bancaria consolidata. Può essere necessaria una revisione dei controlli interni in modo che essi tengano adeguatamente conto dei rischi nuovi o precedentemente non soggetti a controllo.
SCI NELLA NORMATIVA DI VIGILANZA
56
PRINCIPI BASILEA
Principio 5
Le attività di controllo devono essere parte integrante dell’operatività quotidiana di una banca. Un efficace sistema di controllo interno richiede che sia istituita una struttura appropriata, in cui le attività di controllo sono definite ad ogni livello dell’azienda. Queste dovrebbero prevedere: verifiche ai massimi livelli; adeguati controlli sull’operatività dei vari dipartimenti o divisioni; controlli fisici; verifica dell’osservanza dei limiti all’esposizione e azioni correttive in caso di mancata osservanza; un sistema di approvazioni e autorizzazioni; un sistema di verifiche e riscontri.
SCI NELLA NORMATIVA DI VIGILANZA
57
PRINCIPI BASILEA
Principio 6
Un efficace sistema di controllo interno richiede che vi sia un’adeguata separazione delle funzioni e che al personale non vengano assegnate responsabilità contrastanti. Le aree di potenziale conflitto di interessi devono essere individuate, ridotte al minimo, nonché sottoposte a sorveglianza accurata e indipendente.
SCI NELLA NORMATIVA DI VIGILANZA
58
PRINCIPI BASILEA
Principio 7
Un efficace sistema di controllo interno richiede che siano disponibili adeguati ed esaurienti dati interni sugli aspetti finanziari, operativi e di conformità, nonché informazioni esterne di mercato su fatti e situazioni rilevanti ai fini del processo decisionale. Le informazioni devono essere affidabili, tempestive e accessibili; esse devono inoltre essere fornite con modalitàuniformi.
SCI NELLA NORMATIVA DI VIGILANZA
59
PRINCIPI BASILEA
Principio 8
Un efficace sistema di controllo interno richiede che operino affidabili sistemi informativi comprendenti tutte le attivitàrilevanti della banca. Tali sistemi, inclusi quelli che contengono e utilizzano dati in forma elettronica, devono essere sicuri, sorvegliati in modo indipendente e assistiti da adeguati dispositivi di emergenza.
SCI NELLA NORMATIVA DI VIGILANZA
60
PRINCIPI BASILEA
Principio 9
Un efficace sistema di controllo interno richiede che siano istituiti efficaci canali di comunicazione per assicurare che tutto il personale conosca esattamente e osservi le politiche e le procedure attinenti alle proprie funzioni e responsabilità, e che ogni altra informazione rilevante pervenga al personale appropriato.
SCI NELLA NORMATIVA DI VIGILANZA
61
PRINCIPI BASILEA
Principio 10
L’efficacia complessiva dei controlli interni della banca deve essere verificata in modo continuativo. Il monitoraggio dei principali tipi di rischio, così come le valutazioni periodiche da parte dei settori operativi e dei revisori interni, devono rientrare nell’attività quotidiana della banca.
SCI NELLA NORMATIVA DI VIGILANZA
62
PRINCIPI BASILEA
Principio 11
Il sistema di controllo interno deve essere sottoposto a un’efficace e completa revisione interna ad opera di personale operativamente indipendente, dotato di formazione e competenza adeguate. La funzione di revisione interna, in quanto parte del monitoraggio del sistema di controllo interno, deve dipendere direttamente dal consiglio di amministrazione (o da un comitato da esso designato) e dall’alta direzione.
SCI NELLA NORMATIVA DI VIGILANZA
63
PRINCIPI BASILEA
Principio 12
Le deficienze individuate nei controlli interni da settori operativi, revisori interni o altro personale adibito a funzioni di controllo devono essere segnalate tempestivamente al livello direzionale appropriato ed essere affrontate con prontezza. Le deficienze rilevanti devono essere segnalate all’alta direzione e al consiglio di amministrazione.
SCI NELLA NORMATIVA DI VIGILANZA
64
SCI NELLA NORMATIVA DI VIGILANZA
65
SCI NELLA NORMATIVA DI VIGILANZA
66
MIFID
GESTIONE
RISCHIO
CONTROLLO
CONFORMITA’REVISIONE
DISPOSIZIONI
DI VIGILANZA
CONFORMITA’
ISTRUZIONI
VIGILANZA
CONTROLLO
RISCHIOREVISIONE
NAC
GESTIONE
RISCHIO
SCI NELLA NORMATIVA DI VIGILANZA
67
MASTER AMLP
68
AGENDAAGENDA
REGOLE E BEST PRACTICE
ERM
SCI NELLA NORMATIVA DI VIGILANZA
DISEGNO DEL NUOVO SCI
VALUTAZIONE DEL SCI
69
Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e se in linea con il principio di proporzionalità, di gestione del rischio dell’impresa e di revisione interna.
Sono funzioni aziendali permanenti, efficaci, indipendenti.Occorre garantirne la correttezza e l’indipendenza assicurando la ricorrenza di determinati requisiti.
Reg. Congiunto Banca d’Ialia - Consob
DISEGNO DEL NUOVO SCI
70
Controlla e valuta regolarmente l’adeguatezza e l’efficacia delle procedure interne per la prestazione dei servizi di investimento
Controlla e valuta le misure adottate per rimediare a eventuali carenze
nell’adempimento degli obblighi da parte dell’intermediarioControlla e valuta le procedure adottate al al fine di prevenire e
individuare le ipotesi di mancata osservanza degli obblighi posti dalla
disciplina di settore Fornisce consulenza e assistenza ai soggetti rilevanti incaricati dei
servizi ai fini dell’adempimento degli obblighi della disciplina di settore
Presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta
Presenta agli organi aziendali relazioni che riportano la situazione
complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora sia una funzione differente.
DISEGNO DEL NUOVO SCI
71
Collabora alla definizione del sistema di gestione del rischio
Presiede al funzionamento del sistema di gestione del rischio dell’impresa e ne verifica il rispetto da parte della Banca
Verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle
carenze riscontrate nel sistema di gestione del rischioPresenta agli organi aziendali almeno una volta l’anno le relazioni
sull’attività svolta
DISEGNO DEL NUOVO SCI
72
Adotta applica e mantiene un piano di audit per l’esame e la
valutazione dell’adeguatezza e dell’efficacia dei sistemi , dei processi, delle procedure, dei meccanismi di controllo della Banca
Formula raccomandazioni basate sui risultati dei lavori realizzati e ne
verifica l’osservanzaPresenta agli organi aziendali, almeno una volta l’anno, relazioni sulle
questioni relative alla revisione interna.
DISEGNO DEL NUOVO SCI
DISEGNO DEL NUOVO SCI
73
DISEGNO DEL NUOVO SCI
74
DISEGNO DEL NUOVO SCI
75
ELEMENTI FORMALI DEL SCI
L’organizzazione del Sistema dei controlli interni si articola nei seguenti
passaggi formali di supervisione strategica e di gestione:
• adozione normativa interna
• formulazione delle politiche di rischio
• istituzione di funzioni di controllo
• adozione di strumenti di verifica
• disegno flussi
• sedi coordinamento
DISEGNO DEL NUOVO SCI
76
POLITICHE DI RISCHIO
Le politiche di rischio adottate dalla Banca e periodicamente riviste dal Consiglio di amministrazione sono le seguenti:
• Politiche per la gestione del rischio di credito • Politiche per la gestione degli strumenti di CRM• Politiche e processi di gestione del rischio di non conformità• Politiche di rischio del processo finanza• Policy per la gestione del rischio di liquidità• Policy per la gestione dei titoli di proprietà
DISEGNO DEL NUOVO SCI
77
FUNZIONI DI CONTROLLO
Le funzioni di controllo istituite dalla Banca, internamente o esternalizzate, sono le seguenti:
• Funzione di controllo rischio• Funzione di controllo di conformità• Funzione di controllo di conformità alla Mifid• Funzione ICAAP• Funzione di internal audit• Organismo di vigilanza ex D.Lgs. 231/01• Responsabile antiriciclaggio e delegato antiriciclaggio • Responsabile della sicurezza ex L. 626 • Responsabile del trattamento dei dati personali ex Legge Privacy
DISEGNO DEL NUOVO SCI
78
STRUMENTI DI VERIFICA
Gli strumenti di verifica adottati dalla Banca per
l’implementazione delle attività di controllo sono i seguenti:
• controlli settoriali per verifiche di primo livello previsti
nella normativa interna (es. regolamenti e procedure
interne)
• check list settoriali per verifiche di secondo livello
(conformità e controllo sulla gestione dei rischi)
79
Controlli di linea, diretti ad assicurare il corretto svolgimento
delle operazioni. Essi sono effettuati dalle stesse strutture produttive
(ad es., i controlli di tipo gerarchico) o incorporati nelle procedure
ovvero eseguiti nell'ambito dell'attività di back-office.
Controlli di linea, diretti ad assicurare il corretto svolgimento
delle operazioni. Essi sono effettuati dalle stesse strutture produttive
(ad es., i controlli di tipo gerarchico) o incorporati nelle procedure
ovvero eseguiti nell'ambito dell'attività di back-office.
Istr. di vigilanza, Tit. IV. Cap. 11
DISEGNO DEL NUOVO SCI
80
Controlli sulla gestione dei rischi, che hanno l'obiettivo
di concorrere alla definizione delle metodologie di misurazione del
rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni
operative e di controllare la coerenza dell'operatività delle singole
aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi
sono affidati a strutture diverse da quelle produttive.
Controlli sulla gestione dei rischi, che hanno l'obiettivo
di concorrere alla definizione delle metodologie di misurazione del
rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni
operative e di controllare la coerenza dell'operatività delle singole
aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi
sono affidati a strutture diverse da quelle produttive.
Istr. di vigilanza, Tit. IV. Cap. 11
DISEGNO DEL NUOVO SCI
81
Attività di revisione interna, volta a individuare andamenti
anomali, violazioni delle procedure e della regolamentazione nonché
a valutare la funzionalità del complessivo sistema dei controlli interni.
Essa è condotta nel continuo, in via periodica o per eccezioni, da
strutture diverse e indipendenti da quelle produttive, anche attraverso
verifiche in loco.
Attività di revisione interna, volta a individuare andamenti
anomali, violazioni delle procedure e della regolamentazione nonché
a valutare la funzionalità del complessivo sistema dei controlli interni.
Essa è condotta nel continuo, in via periodica o per eccezioni, da
strutture diverse e indipendenti da quelle produttive, anche attraverso
verifiche in loco.
Istr. di vigilanza, Tit. IV. Cap. 11
DISEGNO DEL NUOVO SCI
DISEGNO DEL NUOVO SCI
82
FUNZIONE DI CONTROLLOLIVELLO CONTROLLI
IN AMBITO SCINORMATIVA INTERNA ATTRIBUZIONE
Diffusa Controlli 1° livelloRegolamento SCI
Normative interne settoriali o di processo
Interna
(tutto il personale)
Funzione di controllo rischio o
Risk controller Controlli 2° livello
Regolamento interno aziendale
Regolamento SCI
Normative interne settoriali o di processo
Interna
(es. servizio
controlli)
Funzione di controllo di
conformitàControlli 2° livello
Politiche e processi per la gestione del rischio
di non conformità
Outsourcer
(in parte)
Funzione di controllo di
conformità MifidControlli 2° livello
Politiche e processi per la gestione del rischio
di non conformità Regolamentazione del
processo finanza
Outsourcer
(in parte)
Funzione ICAAP
o Risk managerControlli 2° livello Regolamento del processo ICAAP
Interna
(es. servizio
controlli)
Funzione di Internal Audit Controlli 3° livello Regolamento SCI Outsourcer
Organismo di vigilanza
ex D.Lgs. 231/01Controlli 2° livello
Self assessment 231/01
Modello organizzativo 231/01
Interna con membri
anche esterni
Responsabile antiriciclaggio Controlli 2° livelloRegolamento o disposizioni interne in tema di
riciclaggio
Interna
(es. Presidente e
delegato Direttore)
Responsabile sicurezza Controlli 1°/2° livelloRegolamento o d
isposizioni interne in tema di sicurezza
Interna
( es. Resp. Serv.
Organiz.)
Responsabile privacy Controlli 1°/2° livelloRegolamento o disposizioni interne in tema di
tutela dei dati personaliInterna
DISEGNO DEL NUOVO SCI
83
FUNZIONE DI CONTROLLO DIFFUSA (1° LIVELLO)
I controlli di linea o di primo livello sono diretti ad assicurare il corretto svolgimento delle operazioni e fanno parte delle attivitàordinarie quotidiane. Essi sono effettuati dalle strutture produttive, in genere dalleFiliali, dal Servizio, Ufficio o unità organizzativa deputata. Possono essere incorporati nelle procedure operative o eseguiti nel corso delle attività di back office. Assicurano la conformità di un processo a requisiti sostanziali e formali che sono definiti, rispettivamente, dalle strategie della Banca e dalle normative interne ed esterne.
DISEGNO DEL NUOVO SCI
84
CONTROLLI DI PRIMO LIVELLO O DI LINEA
I controlli di linea o di primo livello, curati dalle unità organizzative coinvolte nei processi, si svolgono con le seguenti modalità:•controllo tradizionale o incrociato, ove un soggetto svolge un’attività ed un altro soggetto della medesima unità organizzativa ne verifica la corretta esecuzione; •controllo mediante supervisione, svolto dal capo gerarchico dell’unitàorganizzativa sull’operato dei propri collaboratori e sulle attività di competenza o delegate o dall’immediato superiore gerarchico sull’attività dei sottoposti;•controllo informatico, eseguito automaticamente dai sistemi informativi per verificare la coerenza oggettiva dei dati immessi
[SEGUE]
DISEGNO DEL NUOVO SCI
85
CONTROLLI DI PRIMO LIVELLO O DI LINEAI controlli di linea o di primo livello, curati dalle unità organizzative coinvolte nei processi, si svolgono con le seguenti modalità:•controlli di tipo fisico, destinati in genere a limitare l’accesso ad attivitàmateriali, come contante e titoli; le operazioni di controllo comprendono le restrizioni fisiche, la duplice custodia e inventari periodici; •approvazioni e autorizzazioni, organizzate mediante richiesta per transazioni superiori a determinati limiti assicura che i livelli direttivi appropriati siano informati della transazione o della situazione e contribuisce a definire le responsabilità.
I controlli possono avere una frequenza giornaliera o periodica e possono essere svolti verificando:
• un numero ridotto casi selezionati mediante campionatura• tutti i casi che rientrano nel perimetro di intervento
DISEGNO DEL NUOVO SCI
86
CONTROLLI DI CONFORMITA’ (2° LIVELLO)I controlli di conformità possono essere svolti con le seguenti modalità:•controllo a distanza, mediante verifiche sugli archivi, sulla normativa interna, sui contratti, mediante accesso alla documentazione utile per l’accertamento;•controllo in loco, presso strutture centrali o periferiche, mediante attività ispettiva volta a quantificare l’esposizione al rischio di non conformità;•supervisione e ricognizione dei controlli di linea, volti ad assicurare la conformità normativa, svolti da altre unità organizzative aziendali.
I controlli possono avere una frequenza giornaliera o periodica e possono essere svolti verificando:•un numero ridotto casi selezionati mediante campionatura•tutti i casi che rientrano nel perimetro di intervento
DISEGNO DEL NUOVO SCI
87
FUNZIONE RISK MANAGEMENT
Le attività di controllo rischio o risk controlling o controllo sulla
gestione dei rischi hanno l'obiettivo di: •concorrere alla definizione delle metodologie di misurazione delrischio •verificare il rispetto dei limiti assegnati alle varie funzioni operative •controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio rendimento
DISEGNO DEL NUOVO SCI
88
VERIFICHE DELLA FUNZIONE RISK MANAGEMENT
(2° LIVELLO)I controlli sulla gestione dei rischi o di secondo livello possono essere svolti con le seguenti modalità:•controllo a distanza, mediante verifiche sugli archivi e l’accesso alle informazioni utili;•controllo in loco, mediante attività ispettiva volta a quantificare l’esposizione al rischio, ad accertare le modalità di gestione dei rischi e l’efficacia dei sistemi di attenuazione.
Le attività tipiche di risk management sono svolte con gli strumenti e le metodologie prescelte del risk measurement e del capital allocation model : modellistica var, calcolo di performace corrette per il rischio, analisi di scostamento.
DISEGNO DEL NUOVO SCI
89
FUNZIONE DI INTERNAL AUDIT
L'attività di revisione interna viene svolta da una funzione indipendente volta da un lato a controllare, anche con verifiche in
loco, la regolarità dell'operatività e l'andamento dei rischi, dall'altro a valutare la funzionalità del complessivo sistema dei controlli interni e a portare all'attenzione del Consiglio di amministrazione e dell'Alta direzione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure.
DISEGNO DEL NUOVO SCI
90
VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)
L’attività svolta è rivolta al miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali.
Obiettivo dell’attività è fornire al Direttore Generale e al Consiglio di amministrazione una valutazione di affidabilità sul Sistema dei controlli, sull’effettivo presidio che lo stesso garantisce rispetto ai rischi, prevenendone o mitigandone l’impatto sugli obiettivi aziendali, di business e di governo.
Dovendo esprimere una valutazione sull’adeguatezza del Sistema dei controlli
interni, l’analisi si focalizza sul presidio complessivo di tutti i rischi e sul loro contenimento entro il livello ritenuto accettabile dalla Banca; indirizza le verifiche periodiche sui processi con profili di rischio ritenuti maggiormente significativi, sulla base di preventive valutazioni di risk assessment.
I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo mediante sistema dei controlli).
MASTER AMLP
91
AGENDAAGENDA
REGOLE E BEST PRACTICE
ERM
SCI NELLA NORMATIVA DI VIGILANZA
DISEGNO DEL NUOVO SCI
VALUTAZIONE DEL SCI
VALUTAZIONE SCI
92
RUOLO DELL’INTERNAL AUDITOR
93
IR – VC = RRRischio
residuo
Valutazione
dei
controlli
Indice di Rischiosità
potenziale
� Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate
– Preliminare individuazione e valutazione dei “Rischi potenziali” relativi alla non conformità alle norme, condotta attraverso l’attribuzione di un giudizio qualitativo ai seguenti due parametri:
� “peso o significatività”
� “frequenza/probabilità”
– Successiva valutazione dei presidi esistenti in termini di adeguatezza a ridurre entro limiti di accettabilità i rischi individuati
– Determinazione del livello di rischio residuo (scoring) determinata dall’algoritmo di valutazione sulla base della combinazione dei giudizi precedenti
VALUTAZIONE SCI
VALUTAZIONE SCI
94
VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)Indice di rischiosita' potenziale (grading)
Fasi del processo Continuita' Alto Medio BassoTotale rischi
Pianificazione e Organizzazione 1 4 0 0 5
Concessione e Revisione 7 17 10 2 36
Monitoraggio 1 12 6 0 19
Gestione del Contenzioso e Cartolarizzazione 2 18 6 0 26
Totale 11 51 22 2 86
Peso indice di rischiosita' 12,79% 59,30% 25,58% 2,33% 1 00%
Indice di rischiosita' residuale (scoring)
Fasi del processo5 4 2 1 0
Non valutati
Totale rischi
Pianificazione e Organizzazione 0 0 1 0 4 0 5Concessione e Revisione 0 2 2 3 26 0 33Monitoraggio 0 0 2 0 12 0 14Gestione del Contenzioso e Cartolarizzazione 0 0 0 0 19
019
Totale 0 2 5 3 61 0 71
Peso indice di rischiosita'0,00%
2,82%
7,04%
4,23% 85,92% 0,00% 100%
VALUTAZIONE SCI
95
VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)
Indice di rischiosita' potenziale (grading)
Indice di rischiosita' residuale (scoring)
Continuita' Alto Medio Basso Totale
5 0 0 0 0 0
4 0 1 1 0 2
2 0 4 1 0 5
1 0 2 1 0 3
0 7 34 18 2 61
Totale rischi 7 41 21 2 71
VALUTAZIONE SCI
96
VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)
Determinazione dell’Indice di Rischiosita’ Valutazione delle “Tecniche di controllo”
PesoFrequenzaProbabilità
IndiceRischiosita’potenziale
AssenteInadeguato
In prevalenzaInadeguato
Parzialmente
Adeguato
In prevalenzaAdeguato
Adeguato
CONTINUITA’
ALTO
100 5 5 4 2 0MEDIO
BASSO
ALTO
ALTO 80 4 4 2 1 0
MEDIO 75 4 4 2 1 0
BASSO 70 4 4 2 1 0
MEDIO
ALTO 60 4 2 2 1 0MEDIO 50 2 2 2 1 0
BASSO 40 2 2 1 1 0
BASSO
ALTO 30 2 1 1 0 0
MEDIO 20 1 1 0 0 0
BASSO 15 1 1 0 0 0
VALUTAZIONE SCI
97
VALUTAZIONE SCI
98
VALUTAZIONE SCI
99
VALUTAZIONE SCI
100
VALUTAZIONE SCI
101
VALUTAZIONE SCI
102
ESIGENZE DI GOVERNANCE E SCI
Il cambiamento è una costante da considerare nelle decisioni che riguardano il governo aziendale.
La teoria organizzativa oscilla fra le opinioni secondo le quali il management deve anticipare il cambiamento oppure governarne gli effetti.
Il SCI fornisce ai diversi livelli decisionali preziose informazioni sui risultati della gestione e sull’organizzazione aziendale.
VALUTAZIONE SCI
103
SCI E ORGANIZZAZIONE
Il ruolo informativo del SCI è sottovalutato.
La caratteristica tipica del SCI è la sua aderenza alla struttura organizzativa sulla quale viene modellato.
Si instaura un continuum logico e funzionale fra SCI e struttura organizzativa della Banca.
Questo è il punto di approdo di un percorso evolutivo in base al quale il controllo ha via via arricchito le finalità in ragione dei mutamenti aziendali.
VALUTAZIONE SCI
104
EFFETTIVITA’ DELLE DEFINIZIONI
Lo SCI ha una valenza in rapporto all’organizzazione aziendale e alla funzionalità che assume.
La definizione di SCI è piena di intenti, ma spesso conduce a scarsi risultati, perché inficiata nei presupposti.
Non esiste un SCI ottimale in assoluto, ma vi sono principi generali che ne ispirano l’impianto e la manutenzione.
VALUTAZIONE SCI
105
FINALIZZAZIONE DEL CONTROLLO
Le parti del SCI non sono individuate in maniera tassativa, ma in relazione agli obiettivi che sono deputate a raggiungere.
In sostanza, c’è un forte nesso fra le componenti del SCI e le finalità alle quali sono preposte.
La funzionalità e l’efficacia del SCI viene stimata misurando il legame che corre fra obiettivi aziendali e controllo. Tale legame dev’essere STRETTO.
VALUTAZIONE SCI
106
VALORE DEI FLUSSI DI RITORNO
I riscontri del SCI rispetto a quanto programmato o atteso rappresentano il livello di raggiungimento degli obiettivi aziendali.
Il flusso di ritorno che deriva dal controllo rappresenta le aree analizzate e permette di correggere deviazioni, rivedere comportamenti, riposizionare gli obiettivi.
Il controllo alimenta un processo di apprendimento organizzativo, poiché fornisce importanti informazioni per riallineare gli iter operativi alle esigenze aziendali.
VALUTAZIONE SCI
107
CONTENIMENTO DEI RISCHI
Il SCI si qualifica per la capacità di ridurre le probabilità di verificarsi un evento dannoso.
Il SCI svolge un’azione preventiva. Di fatto lo scopo del SCI è indirizzare l’organizzazione verso il perseguimento degli obiettivi minimizzando i rischi di percorso.
Per assicurare sistematicità dei controlli occorre definire tipologia ed intensità dei rischi (mappatura).Tale attività è propedeutica alla valutazione economica.
VALUTAZIONE SCI
108
SOLO CONTROLLI UTILI
E‘ necessario verificare nel continuo la congruità dei controlli rispetto agli obiettivi.
Il controllo ha ragione di esistere, ed è economicamente e organizzativamente giustificato, solo se:
-la sua azione contribuisce a orientare l’azienda verso il raggiungimento dei risultati-il suo costo è inferiore alla quantificazione economica del rischio.
VALUTAZIONE SCI
109
EVITARE LA STRATIFICAZIONE
Occorre revisionare periodicamente il SCI e confermare solo i controlli che aggiungono valore rispetto al loro costo di impianto e di mantenimento.Si tratta di una rivisitazione della funzionalità del SCI.
VALUTAZIONE SCI
110
SFRUTTARE I VANTAGGI DELL’ IT
L’impiego delle tecnologie informatiche riduce margini di discrezionalità operativa.
Numerosi controlli di linea sono incorporati nelle procedure e sono intrinseci nell’esecuzione.
I controlli di compliance possono essere eseguiti in remoto con maggior velocità di esecuzione.
L’analisi di data base consente di verificare contemporaneamente processi e rischi che coinvolgono diverse unità.
VALUTAZIONE SCI
111
SISTEMATICITA’ DELLE VERIFICHE
La robustezza del SCI non è positivamente correlata alla numerosità dei controlli.
Il SCI è efficace se il coordinamento dei controlli riesce a fronteggiare i rischi complessivamente considerati.
I rischi hanno naturale capacità di aggregazione, diventano facilmente un sistema. Spesso è la presenza contemporanea di più rischi che ne potenzia l’impatto dannoso. I controlli tendono alla singolarità. Ma se singolarmente validi possono perdere di efficacia se non coordinati.
VALUTAZIONE SCI
112
SELEZIONE DELLE METODOLOGIE
Le verifiche on site sono costose e più lente (costo uomo, overpressing, accesso agli archivi).Sortiscono un buon effetto psicologico (repressivo). Sono indispensabili per ricognizioni cartolari, asseveramenti.
I controlli remoti sono più economici e tendenzialmente piùtrasversali. Colgono la visione d’insieme di una grande quantità di dati. Sono caratterizzati da velocità di esecuzione.
Le verifiche effettuate avvalendosi di strumenti IT sono piùcomplete, esaustive ed interfunzionali.
VALUTAZIONE SCI
113
MAPPATURA PROCESSI E DEFINIZIONE CONTROLLI
Il SCI è innervato nell’organizzazione della Banca.
Disegnare flow chart di processo è fondamentale per la definizione delle procedure operative e l’adozione di adeguata normativa interna.
Ad ogni snodo operativo occorre domandarsi quali sono i rischi connessi e concepire i controlli più adeguati.
VALUTAZIONE SCI
114
ORGANIZZAZIONE DI PROCESSO & SCI
VALUTAZIONE SCI
115
UNA SEDE DI COORDINAMENTO
Occorre individuare una sede di coordinamento di tutte le verifiche previste dal SCI.
Un forum dovrebbe riflettere in maniera strutturata, formalizzata, con cadenza ricorrente sui risultati delle analisi effettuale, pianificando le linee di intervento future.
Occorre comporre un quadro dei controlli organico, coerente e funzionale. Occorre successivamente definire le attività, la distribuzione per funzione e le modalità di svolgimento.
VALUTAZIONE SCI
116
POLITICA DEI CONTROLLI
Nel concepire il Sistema dei controlli interni, la Banca opera un' attenta valutazione fra i costi ed i benefici che ne trae: ogni nuovo controllo comporta una distrazione, dalle attività svolte, di risorse umane, tecniche e finanziarie e pertanto è necessario pervenire ad un giusto bilanciamento fra i costi di implementazione del sistema ed i benefici che ne derivano.
Affinché la valutazione dei rischi ed il Sistema dei controlli interni
mantengano la loro efficacia, il Direttore Generale esamina costantemente i rischi connessi alle attività svolte dalla Banca e reagisce al mutare delle circostanze e delle condizioni. In tali casi ènecessaria una revisione dei controlli interni e la definizione di prioritànello svolgimento delle attività di verifica.
VALUTAZIONE SCI
117
VALUTAZIONE SCI
118
POLITICA DEI CONTROLLI
VALUTAZIONE SCI
119
PIANIFICAZIONE DEI CONTROLLI
Tenuto conto della moltiplicazione dei punti di controllo e dei presidi richiesti dalla normativa, il Consiglio di amministrazione deve indirizzare le attività di controllo con l’obiettivo di evitare sovrapposizioni e ridondanze.
Posto che nell’arco di un esercizio è impossibile svolgere tutte le tipologie di verifiche previste dal Sistema dei controlli interni senza caricare eccessivamente la struttura dei costi, il Consiglio di amministrazione, con il supporto della funzione di Audit e del Collegio Sindacale, potrebbe definire un Piano annuale delle verifiche, individuando le attività oggetto di particolare attenzione e ritenute prioritarie.
SI TRATTA DI UN PIANO SUI CONTOLLI GLOBALE ED INTEGRATO.
VALUTAZIONE SCI
120
PIANIFICAZIONE DEI CONTROLLIIl Piano annuale delle verifiche risponde ai precisi criteri per la selezione e la programmazione delle attività di controllo. Tali criteri sono riconducibili a circostanze esterne alla Banca ed interne ad essa:•carenze rilevate dal Collegio Sindacale•esito del processo ICAAP e dell’autovalutazione•segnalazioni dell’organismo di vigilanza ex DLgs. 231/01•esito di interventi di vigilanza ispettiva o informativa delle Autorità di vigilanza (es. Banca d’Italia, Consob, Isvap, UIF, GdF)•esito delle attività di Internal Audit•evoluzione attesa del mercato, delle condizioni ambientali e di contesto in cui opera la Banca•pianificazione strategica delle linee di business•entrata in vigore di nuove normative.
121
VALUTAZIONE SCI
L’impianto di un corretto sistema di risk governance passa
attraverso alcune fasi fondamentali: il bilanciamento dei poteri
all’interno dell’azienda, la formalizzazione delle politiche di
governo dei rischi, il riesame periodico dell’efficacia di tali
politiche, la verifica dell’effettiva ed efficace attuazione delle
politiche medesime.
A.M. Tarantola, Banca d’Italia, ottobre 2007
MORAL SUASION BANCA D’ITALIA
122
Al di là dei controlli strutturali, rileva “l’idoneitàdegli assetti organizzativi, la gestione e il controllo dei rischi per la determinazione del capitale adeguato per fronteggiare le perdite, per contemperare l’autonomia delle banche con gli obiettivi prudenziali.”
Relazione annuale Banca d’Italia, 2007
VALUTAZIONE SCI
MORAL SUASION BANCA D’ITALIA
123
VALUTAZIONE SCI
E’ necessario procedere a un riassetto delle vigenti istruzioni di
vigilanza in materia di controlli interni, per ricondurre ad unità e
coordinare i diversi interventi. [..] Occorre restituire organicità,
unitarietà e completezza alla materia. [..] I temi centrali sui quali è
necessario riflettere sono: l’unitarietà e l’organicità del sistema dei
controlli, il dialogo fra le diverse funzioni preposte, la valorizzazione di
tutti gli obiettivi del controllo, la necessità di aggiornare nel continuo
le modalità di misurazione e valutazione dei rischi.
A.M Tarantola, Banca d’Italia, giugno 2008
MORAL SUASION BANCA D’ITALIA
124
VALUTAZIONE SCI
Il coordinamento fra le diverse funzioni di controllo deve essere
realizzato a livello dei vertici aziendali, anche incoraggiando il
confronto e lo scambio di idee tra i diversi soggetti responsabili,
soprattutto per gli aspetti di confine.
A.M Tarantola, Banca d’Italia, giugno 2008
MORAL SUASION BANCA D’ITALIA
125
VALUTAZIONE SCI
L’organo di controllo ha la responsabilità di vigilare sulla funzionalità del
complessivo sistema dei controlli interni. Considerata la pluralità di funzioni e
di strutture aziendali aventi compiti di responsabilità e controllo, tale organo
è tenuto ad accertare l’efficacia di tutte le strutture e funzioni coinvolte nel
sistema dei controlli e l’adeguato coordinamento delle medesime.
L’organo di controllo vigila sull’adeguatezza del sistema di gestione e
controllo dei rischi.
Disp. Di Vigilanza in materia di
organizzazione e governo societario
MORAL SUASION BANCA D’ITALIA
VALUTAZIONE SCI
126
NUOVO SCILe Istruzioni di vigilanza prevedono che il Sistema dei controlli interni
debba essere periodicamente soggetto a ricognizione e validazione in relazione all'evoluzione dell'operatività aziendale e al contesto di riferimento.
In considerazione dei molteplici interventi normativi che hanno interessato la materia dei controlli, il Consiglio di amministrazione deve necessariamente delineare un quadro aggiornato del Sistema dei
controlli interni.
Tenuto conto della pluralità delle funzioni di controllo istituite in ottemperanza alle recenti normative, il Consiglio di amministrazione dovrebbe definire un modello organizzativo per una corretta strutturazione del Sistema dei controlli interni.
VALUTAZIONE SCI
127
NUOVO SCI
Il Consiglio di amministrazione dovrebbe individuare, con un nuovo Regolamento del SCI, soluzioni organizzative proporzionate alle caratteristiche strutturali della Banca e albusiness tipico.
Il documento si pone l’obiettivo di individuare formule organizzative e prassi operative che valorizzino le sinergie fraorgani, funzioni e strutture di controllo, eliminando inutili sovrapposizioni.
Il nuovo SCI dovrebbe incardinarsi sul momento di coordinamento e pianificazione dei controlli.