Post on 19-Feb-2019
AIEA - Giornata di studio 28 gennaio 2009 - Roma
Basilea II - Impatti sull'Internal AuditGennaio 2008
Financial Services
Agenda
La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IA
Sezione uno
La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IA
Slide 4Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
La disciplina prudenziale
La disciplina prudenziale si applica agli intermediari finanziari, in particolare,nella sua espressione più completa e complessa, alle banche ed ai gruppibancari
La disciplina prudenziale obbliga gli intermediari a dotarsi di adeguati sistemidi gestione e di copertura patrimoniale (se necessaria) per tutti i rischiconnessi alla propria attività
L’impianto della nuova disciplina “assicura, […], una misurazione accurata diun più ampio novero di rischi e una dotazione patrimoniale più strettamentecommisurata all’effettivo grado di esposizione al rischio di ciascunintermediario; stimola le banche a migliorare le prassi gestionali e le tecnichedi misurazione dei rischi, anche in ragione dei possibili risparmi patrimoniali”(*)
La nuova disciplina prudenziale – Basilea II
(*) Circolare 263 dicembre 2006 di Banca d’Italia, Titolo I, Cap. 1, Parte prima, Par. 1
Slide 5Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Struttura dell’accordo di Basilea II
Nuovo Accordo diBasilea
Disciplinadi mercato
Patrimoniominimo
richiesto
Controlloprudenziale
Nuovo Accordo diBasilea
Disciplinadi mercato
Patrimoniominimorichiesto
Controlloprudenziale
La normativa della 263 si applica su base consolidata a Gruppi b ancari e Banche indipendenti.Il primo Pilastro si applica anche su base individuale. Il Secondo e il Terzo pilastro si applicano solo su base consolidata.
Il Secondo Pilastro richiede alle banchedi dotarsi di una strategia e di unprocesso di controllo dell ’ adeguatezzapatrimoniale, attuale e prospettica, dadiscutere con l’Autorità di Vigilanza.
2
Rendicontazione ICAAP(Internal Capital Adequacy Assessment Process –
Processo di autovalutazione dell’adeguatezza patrimoniale)
Il Terzo Pilastro introduceobblighi di informativa alpubblico, riguardanti l’ade-guatezza patrimoniale, l’e-sposizione ai rischi e lecaratteristiche generali deirelativi sistemi di gestione econtrollo.
3
Report (14) contenentiinformazioni di tipo sia
qualitativo che quantitativo
Il Primo Pilastro introduce unrequisito patrimoniale perfronteggiare i rischi tipicidell’attività bancaria efinanziaria (di credito, dimercato, di controparte eoperativo).
1
Requisiti minimi di capitale
1 2 3
La nuova disciplina prudenziale – Basilea II
Slide 6Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il Primo Pilastro – requisiti patrimoniali minimi
I requisiti patrimoniali vanno determinati, a regime, per tutti i rischi identificatidalla normativa ed applicabili alla banca / gruppo bancario
La nuova disciplina prudenziale permette comunque una certa flessibilità nellamisurazione dei rischi e dei requisiti patrimoniali corrispondenti, consentendol’uso di metodi con diversi livelli di complessità e sofisticazione:
Metodi base (talvolta detti anchestandardizzati), che utilizzano formulee parametri di calcolo descritti e fissatidirettamente nella normativa; sonosemplici, senza oneri di sviluppo emantenimento ma tendenzialmentemolto prudenti
Metodi basati su modelli interni, chedevono essere sviluppati, convalidati,provati e mantenuti dagli intermediarie autorizzati dal regolatore, mapossono offrire una rappresentazionedel rischio più aderente alla realtà delsingolo intermediario e, in diversi casi,un risparmio di capitale
La nuova disciplina prudenziale – Basilea II
Slide 7Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il Primo Pilastro – adozione di modelli interni
L’adozione di modelli interni è considerata dalla stessa Banca d’Italia comeun’innovazione di carattere strategico, in quanto investe una molteplicità diaspetti relativi alla gestione della banca che non si limitano esclusivamentealla componente modellistica, ma includono il Governo societario ed ilcontrollo, l’Organizzazione e i processi, i Dati e i sistemi informativi
La nuova disciplina prudenziale – Basilea II
GovernoGovernosocietariosocietario ee
controllocontrollo
OrganizzazioneOrganizzazioneee ProcessiProcessi
MetodologieMetodologie eemodellimodelli
DatiDati ee sistemisistemiinformativiinformativi
Diversi gruppi bancari si sono mossisin dal 2002-2003 verso l’adozione dimetodi basati su modelli interni. Adoggi, anche in relazione allemodificazioni del mercato(acquisizioni/ fusioni), solo pochiintermediari sono stati autorizzati daBanca d’Italia all’uso dei propri modelli
Slide 8Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il Secondo Pilastro - il processo ICAAP
L’ICAAP è il processo di controllo prudenziale previsto dal Secondo Pilastro(che indirizza la gestione di ulteriori rischi, oltre quelli di Primo Pilastro) ericade sotto la responsabilità della Capogruppo
La nuova disciplina prudenziale – Basilea II
L’ICAAP è il processo interno di determinazionedell’adeguatezza patrimoniale (Internal CapitalAdequacy Assessment Process)
Fa capo alle banche, le quali effettuano un’autonomavalutazione della propria adeguatezza patrimoniale,attuale e prospettica, in relazione ai rischi assunti e allestrategie aziendali
Il processo ICAAP è imperniato su idonei sistemi aziendali digestione dei rischi e presuppone adeguati meccanismi di governosocietario, una struttura organizzativa con linee di responsabil itàben definite, efficaci sistemi di controllo interno
La responsabilità di tale processo è rimessa agli organi societari, iquali ne definiscono in piena autonomia il disegno el’organizzazione secondo le rispettive competenze e prerogative
Il processo ICAAP deve essere documentato, conosciuto econdiviso dalle strutture aziendali e sottoposto a revisioneinterna
Determinare il capitale che le banche ritengono adeguato - per importo e composizione - alla coperturapermanente di tutti i rischi ai quali sono o potrebbero essere e sposte, anche diversi da quelli per i quali èrichiesto il rispetto dei requisiti patrimoniali.
Che cos’è l’ICAAP Le caratteristiche dell’ICAAP
Obiettivi dell’ICAAP
Sezione due
La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IACoinvolgimento della funzione IA nella verifica straordinaria
Slide 10Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
La circolare 263 dicembre 2006 di Banca d’Italia
La circolare di Banca d’Italia n° 263 del dicembre 2006 rappresenta ilprincipale riferimento per la corretta applicazione della nuova disciplinaprudenziale in Italia
In fatto di controlli, essa integra la circolare n° 229 del aprile 1999 e costituiscela principale fonte da cui dedurre gli impatti della nuova disciplina sullafunzione di Internal Audit (IA)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
Slide 11Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Gestione e controllo dei rischi – requisiti generali
“Organo con funzione di controllo.
L’organo con funzione di controllo vigila sull’adeguatezza e sulla rispondenzadel sistema di gestione e controllo dei rischi, nonché del processo ICAAP, airequisiti stabiliti dalla normativa. Per lo svolgimento delle proprie attribuzioni,tale organo dispone di adeguati flussi informativi da parte degli altri organiaziendali e delle funzioni di controllo interno.”(*)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
(*) Titolo I Cap. 1 Parte quarta Par. 2.3
Slide 12Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni
Requisiti normativi impattanti la funzione di Internal Audit (IA)
“Nelle banche che adottino sistemi interni di misurazione dei rischi per ladeterminazione dei requisiti patrimoniali, l’organo di controllo, avvalendosidell’apporto delle funzioni di controllo interno, valuta – nell’ambito dellapiù generale attività di verifica del processo di gestione e controllo del rischio –la funzionalità e l’adeguatezza del sistema stesso, nonché la rispondenzaai requisiti previsti dalla normativa.” (*)
Maggiori e più stringenti sono i requisiti normativi sul controllo in caso diadozione di metodi basati su modelli interni per il quale sono sintetizzati nelleslide seguenti
(*) Titolo I Cap. 1 Parte quarta Par. 2.3
Slide 13Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di primo livello
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• Effettuati presso le strutture operative coinvolte nel processo di attribuzione del rating
• Possono essere di tipo automatico ovvero disciplinati da appositi protocolli operativi
• Finalizzati alla verifica• del corretto svolgimento delle attività propedeutiche all’assegnazione del rating:
– la scelta del modello appropriato per la valutazione del cliente o dell’operazione– l’individuazione delle connessioni di natura economica o giuridica tra i clienti
• del rispetto delle procedure interne volte all’acquisizione delle informazioni necessarie per l’attribuzione el’aggiornamento del rating
• delle verifiche sui singoli rating finali prodotti dai modelli– nei sistemi incentrati sulla componente automatica, riguardano la completezza degli elementi valutativi presi
in considerazione e si estendono alle modalità di trattamento delle informazioni qualitative oggettivizzate;– nell’ambito dei sistemi di rating che prevedono l’integrazione dei giudizi automatici con una componente
discrezionale, sono finalizzate a verifiche la coerenza delle motivazioni alla base delle proposte di overridecon i criteri definiti dalla normativa interna.
Rischi di Credito
Slide 14Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di primo livello
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• La banca istituisce una funzione di controllo dei rischi operativi.
• I compiti che spettano a tale funzione attengono:• alla progettazione, sviluppo e manutenzione dei sistemi di gestione e di misurazione dei rischi operativi; tali attività
riguardano, tra l’altro, il sistema di raccolta e conservazione dei dati, il sistema di reporting nonché la valutazionedel profilo di rischio operativo;
• alla determinazione del requisito patrimoniale sui rischi operativi. Ai fini di un efficace svolgimento di tale funzione,la banca individua le soluzioni organizzative ritenute più idonee.
• La funzione di controllo sui rischi operativi può coinvolgere varie strutture della banca ferma la necessità che laresponsabilità del coordinamento e della supervisione delle varie attività sia univocamente assegnata.
• Per lo svolgimento di tale funzione, la banca utilizza risorse con adeguata professionalità nella gestione e nellemetodologie di misurazione dei rischi operativi e con approfondita conoscenza dei processi aziendali.
• La funzione di controllo sui rischi operativi deve tenere informati gli organi aziendali sulle attività svolte e sui risultati diqueste.
Rischi Operativi
Slide 15Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di secondo livello(convalida)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• Insieme formalizzato di attività, strumenti e procedure volte a valutare l’accuratezza delle stime di tutte le componentirilevanti di rischio e a esprimere un giudizio in merito al regolare funzionamento, alla capacità predittiva e allaperformance complessiva del sistema IRB adottato.
• L’attività di convalida si sostanzia nella verifica sia dei requisiti quantitativi sia di quelli organizzativi previsti in materia disistemi di rating.
• Il processo di convalida deve essere affidato ad una funzione indipendente:• dalle funzioni coinvolte nelle attività di assegnazione del rating e di erogazione del credito;• dalla funzione che sviluppa il sistema di rating;• dalla funzione che svolge attività di revisione interna e che sottopone a verifica il processo e l’esito della convalida.
• La funzione di convalida inoltre:• deve potersi avvalere di risorse dotate di competenze idonee al contenuto specialistico dei compiti da svolgere;• è affidata ad un responsabile che
– non deve trovarsi in situazione di dipendenza gerarchica rispetto ai soggetti responsabili delle attività diassegnazione del rating ed erogazione del credito
– sovrintenda alle attività di convalida assicurando l’unitarietà del processo, anche in presenza di una pluralitàdi funzioni coinvolte.
Rischi di Credito
Slide 16Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di secondo livello(convalida)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• Il processo di convalida interna è costituito da un insieme strutturato di procedure e attività volte a valutare su basecontinuativa la qualità dei sistemi di gestione e di misurazione dei rischi operativi e la loro rispondenza nel tempo alleprescrizioni normative, alle esigenze aziendali e all’evoluzione del mercato di riferimento. In tali attività è compresa laverifica dell’affidabilità del calcolo del requisito patrimoniale nonché l’accertamento dell’utilizzo del sistema dimisurazione nell’ambito dei processi decisionali e nella gestione dei rischi operativi.
• La responsabilità del processo di convalida interna deve essere univocamente attribuita.
• Il processo di convalida interna deve avvalersi di risorse caratterizzate da idonee competenze specialistiche eprevalentemente indipendenti dai responsabili delle attività che generano o subiscono le perdite operative.
• Il processo di convalida è indipendente dalla funzione di revisione interna, che sottopone a verifica il processo e l’esitodella convalida. Nel caso in cui la convalida interna venga svolta da soggetti o unità coinvolti nello sviluppo dei sistemi digestione e di misurazione dei rischi, l’attività di revisione deve accertare, in particolare, il grado di oggettività delprocesso e dei suoi risultati.
• I risultati del processo di convalida devono essere adeguatamente documentati e periodicamente sottoposti alla funzionedi revisione interna, ad altre strutture o funzioni interessate e agli organi aziendali.
• Nell’ambito di questa informativa specifico rilievo va dato agli aspetti del sistema di gestione e misurazione dei rischioperativi suscettibili di miglioramento, anche in relazione a modifiche nella struttura e nell’operatività della banca, e allevalutazioni in merito al rispetto dei requisiti di idoneità.
Rischi Operativi
Slide 17Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di terzo livello (revisioneinterna)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• La funzione di revisione interna valuta la funzionalità del complessivo assetto dei controlli sul sistema di rating. Inparticolare, sottopone a revisione il processo di convalida verificando l’adeguatezza e la completezza delle attività svoltedalla competente funzione, la coerenza e fondatezza dei risultati della convalida, nonché la perdurante conformità delsistema IRB ai requisiti stabiliti dalla normativa.
• Nell’ambito del processo di revisione interna svolge, tra l’altro, le seguenti attività:• verifica il rispetto delle normative e procedure che presiedono alle diverse fasi del funzionamento del sistema di
rating e valuta il grado di indipendenza della funzione di convalida;• analizza le attività di riconciliazione tra le procedure gestionali ed i sistemi di rating;• valuta l’adeguatezza ed affidabilità della funzione informatica e delle relative risorse, delle infrastrutture
informatiche, delle caratteristiche strutturali e di alimentazione delle base dati e dei sistemi di anagrafe a supportodel sistema di rating;
• compie verifiche mirate ad accertare l’effettivo utilizzo del sistema di rating nella gestione aziendale.
• La revisione interna deve predisporre per organi aziendali con cadenza almeno annuale un documento conclusivo cheillustri le attività e i relativi esiti, dando specifica
Rischi di Credito
Slide 18Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Adozione di modelli interni – controlli di terzo livello (revisioneinterna)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
• La funzione di revisione interna effettua verifiche periodiche sui sistemi di gestione e di misurazione dei rischi operativi alfine di valutarne l’efficacia e la conformità con i requisiti di idoneità.
• In tale ambito sono comprese le verifiche sul processo di convalida interna - al fine di accertarne l’adeguatezza, lacompletezza, l’oggettività e la coerenza dei risultati - e sull’effettivo utilizzo a fini gestionali del sistema di misurazione deirischi operativi.
• Particolare attenzione va, altresì, rivolta alle componenti del sistema di misurazione finalizzate al calcolo del requisito,tra cui la qualità dei dati e dei sistemi informativi.
• La revisione interna deve tenere informati gli organi aziendali in ordine all’attività svolta e ai relativi esiti.
• Con cadenza annuale, la funzione di revisione interna predispone una relazione che illustra le attività svolte in materia direvisione dei sistemi di gestione e di misurazione dei rischi operativi, dando specifica evidenza alle criticità rilevate e agliinterventi correttivi proposti.
Rischi Operativi
Slide 19Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Processo ICAAP
“Il processo ICAAP è imperniato su idonei sistemi aziendali di gestione deirischi e presuppone adeguati meccanismi di governo societario, una strutturaorganizzativa con linee di responsabilità ben definite, efficaci sistemi dicontrollo interno.” (*)
“La determinazione del capitale interno complessivo e del capitalecomplessivo […] richiede il coinvolgimento di una pluralità di strutture eprofessionalità (funzioni di pianificazione, risk management, internal audit,contabilità, etc.) […]” (**)
Requisiti normativi impattanti la funzione di Internal Audit (IA)
(*) Titolo III Cap. 1 Sezione I Par. 1(**) Titolo III Cap. 2 Sezione seconda par. 5
Slide 20Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
“Schema di riferimento per il resoconto ICAAP:
[…] 2) governo societario, assetti organizzativi e sistemi di controllo internoconnessi con l’ICAAP
[…] d) definizione del ruolo e delle funzioni assegnati a fini ICAAP alle variefunzioni aziendali (ad esempio: internal auditing; compliance; pianificazione;risk management; eventuali altre strutture, tra le quali: strutture commerciali diDirezione generale e di rete, contabilità e controllo contabile)” (*)
Processo ICAAP – il resoconto ICAAP
Requisiti normativi impattanti la funzione di Internal Audit (IA)
(*) Titolo III Cap. 2 Sezione II Allegato E
Sezione tre
La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IA
Slide 22Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Banche che adottano metodi base ai fini del primo pilastro
Impatti organizzativi a regime sulla funzione di IA
L’impatto del nuovo framework regolamentare sulle funzioni di auditing di talibanche è limitato perchè non adottano modelli interni• Tematica rilevante è rappresentata dalle tecniche di Credit Risk Mitigation
(CRM). L’audit dovrà presidiare le logiche di definizione e le modalitàimplementative
• Nella prima fase di adozione della nuova regolamentazione, particolareattenzione dovrà essere posta sui sistemi segnaletici
• Nel caso in cui vengano adottate metodologie evolute di determinazionedei requisiti di capitale ai fini del secondo pilastro, l’Internal Auditing dovràverificare il processo di validazione interna di tali metodologie
Slide 23Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Banche che adottano modelli interni
Impatti organizzativi a regime sulla funzione di IA
Gli impatti maggiori riguardano le banche che adottano modelli interni dideterminazione dei requisiti di primo e secondo pilastro, nelle quali, oltre asvolgere le verifiche già citate (per esempio sulla CRM), l’IA è chiamato aduna serie di compiti aggiuntivi:• Nel sottoporre a revisione l’intero processo di sviluppo e di convalida dei
modelli, l’IA non si limita ad un’analisi documentale dei controlli eseguiti edei risultati ma, ove evidenzi criticità o issue, effettua delle verifiche anchedi tipo quantitativo sull’accuratezza dei modelli stessi
• Verifica, tramite le tradizionali attività ispettive sulla rete, che il sistemabasato sui modelli interni giochi un ruolo essenziale nell’intero processo diaffidamento (use test)
• Effettua approfondimenti diretti sui sistemi IT (congruità e integrità dellebasi dati, procedure di alimentazione, segnalazioni….)
Slide 24Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
E’ possibile ipotizzare gli interventi di audit in relazione a ciascuna fase del processoICAAP.
FASE 1Determinazione degli elementi di
capitale
FASE 2Individuazione dei rischi da valutare
FASE 4Determinazione capitale interno
complessivo
FASE 5Determinazione degli elementi
patrimoniali e riconciliazione con PV
FASE 6Autovalutazione
FASE 3Stima dei rischi
Slide 25Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
FASE 1Determinazione degli elementi
di capitale
FASE 2Individuazione dei rischi
da valutare
• La coerenza tra le scelte in termini di obiettivi di capitale(espresse sia in termini di propensione al rischio che diallocazione del capitale alle linee operative/categorie di rischio)con gli obiettivi strategici definiti dall’Alta Direzione e con ilcontesto operativo.
• La coerenza della propensione al rischio (Risk Appetite), ovvero ilcapitale interno target che l’intermediario è disposto a mettere arischio.
• La correttezza del processo di individuazione dei rischi rilevantirispetto all’operatività ed all’orientamento strategico della banca.
• L’applicazione di un adeguato criterio di materialitànell’individuazione dei rischi.
• La corretta classificazione dei rischi in gestibili, misurabili emitigabili.
L’Internal Auditing, pertanto, verifica:
Slide 26Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
• L’adeguatezza delle metodologie di stima adottate.
• La qualità dei dati utilizzati.
• La verosimiglianza delle ipotesi sottostanti i modelli.
• La robustezza dei risultati conseguiti.
• L’adeguatezza delle metodologie di stress e degli scenariipotizzati nonché l’interpretazione dei risultati
In caso di adozione di metodologie di aggregazione dei rischibasate sulle correlazioni tra i rischi stessi, verifica:
• la consistenza delle metodologie adottate
• la prudenzialità delle ipotesi sottostanti
• la stabilità dei risultati.
FASE 4Determinazione capitale
interno complessivo
FASE 3Stima dei rischi
Slide 27Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
FASE 5Determinazione degli
elementi patrimoniali ericonciliazione con PV
In caso di adozione di una definizione di Capitale Complessivodiversa da quella di Patrimonio di Vigilanza, valuta:
• le scelte effettuate in termini di poste patrimoniali da imputare aCapitale Complessivo;
• il processo di riconciliazione del Capitale Complessivo con ilPatrimonio di Vigilanza.
• La correttezza delle aree di miglioramento identificate dallesingole strutture organizzative.
• L’adeguatezza degli interventi previsti.
FASE 6Autovalutazione
Slide 28Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
l’Internal Audit valuta inoltre:• il grado di coinvolgimento e di consapevolezza dell’Alta Direzione e delle
diverse funzioni aziendali• l’adeguata definizione e formalizzazione del processo• il corretto recepimento della normativa interna redatta ai fini ICAAP• l’efficacia delle policy di mitigazione per il contenimento dei rischi per i quali
il capitale economico non è un mitigant (es. liquidità e reputazione)• il livello di approfondimento ed estensione della documentazione ICAAP
predisposta per la Banca d’Italia
Slide 29Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Libro bianco dell’ABI
Impatti organizzativi a regime sulla funzione di IA
Nel corso del 2008 ABI ha promosso un gruppo di lavoro tematico sugli impattidel Secondo Pilastro della normativa di Basilea 2
Al gruppo di lavoro, coordinato da ABI con la collaborazione diPricewaterhouseCoopers, hanno partecipato 24 intermediari
Il risultato del lavoro, sviluppatosi anche attraverso incontri con il regolatore, èracchiuso in un libro bianco sul Secondo Pilastro pubblicato di recente
Tra l’altro, il libro bianco riporta le ricadute dell’applicazione del SecondoPilastro, ed in particolare del processo ICAAP, sulla funzione IA
Slide 30Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
All’interno del gruppo di Lavoro sono emersi approcci diversi in relazione al ruolo didettaglio svolto dalla funzione di Internal Audit nell’ambito dell’autovalutazione, chepossono essere sintetizzati in un approccio “minimale” e un approccio “estensivo”
Approccio “minimale”:
Nell’approccio “minimale” la funzione dell’Internal Audit è quella strettamenteprevista dalla Circolare 263, ovvero di verifica di anomalie rispetto alle procedurestabilite e di valutazione complessiva del sistema di controllo interno, con unalimitata funzione propositiva. I sostenitori di questo approccio ritengono che unafunzione più “invasiva” e orientata agli aspetti gestionali minerebbe la terzietà e ilruolo super partes dell’audit. In questo approccio, ciascuna funzione coinvolta nelprocesso effettua una valutazione dello stesso per la parte che la interessa epropone eventuali modifiche, ferma restando la funzione di presidio sul sistema deicontrolli dell’Internal Audit
Slide 31Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Il ruolo dell’Internal Auditing nel secondo pilastro
Impatti organizzativi a regime sulla funzione di IA
Approccio “estensivo”:
Nell’approccio “estensivo” la funzione dell’Internal Audit è molto più invasiva inquanto non solo esegue una valutazione del processo ICAAP e della proposta dimiglioramenti di tipo organizzativo, ma si estende anche alla valutazione degliapprocci metodologici sottostanti alle stime dei requisiti di capitale su tutti i rischi edalla valutazione della ragionevolezza / congruità dell’output dell’ICAAP. Per i rischi diSecondo Pilastro, l’Internal Audit svolge anche la funzione di “convalida interna”, chenel Primo Pilastro è generalmente svolta da una funzione aziendale “ad-hoc”
Il processo di “autovalutazione” eseguito dalla funzione IA replica internamentel’attività svolta dall’organo di vigilanza (c.d. SREP – Supervisory Review Process)
Slide 32Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Le competenze dell’Internal Auditing
Impatti organizzativi a regime sulla funzione di IA
È possibile ipotizzare una mappa delle competenze della funzione diInternal Auditing, distinguendo tra istituti che adottano metodi base e istitutiche adottano modelli interni
Aree diCompetenze
Competenze richieste
ProcessiCompetenze di auditing di processo (del credito e di gestione dei rischioperativi)Conoscenza approfondita delle tecniche di CRM
ITConoscenza ad alto livello del sistema IT sottostante i processi aziendaliConoscenza dei sistemi segnaletici e di gestione delle garanzie
ModelliComprensione ad alto livello di eventuali modelli di misurazione e monitoraggiodei rischi, generalmente semplici ed utilizzati ai fini gestionali
Secondo Pilastro Capacità di valutare l'adeguatezza del processo di determinazione dei requisitipatrimoniali anche in relazione agli indirizzi strategici dell'azienda.
Istituti che adottano metodi base
Slide 33Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Le competenze dell’Internal Auditing
Impatti organizzativi a regime sulla funzione di IA
Aree diCompetenze
Competenze richieste
ProcessiConoscenza degli impatti del rating sul processo del creditoConoscenza del sistema di misurazione e gestione dei rischi operativi
ITCompetenze approfondite di IT audit e buona conoscenza dell'architetturainformatica sottostante il sistema di rating
ModelliCompetenze quantitative per analizzare i processi di sviluppo dei modellinonché per effettuare autonome verifiche di accuratezza degli stessi
Secondo PilastroConoscenza delle metodologie di misurazione dei rischi di secondo pilastro (i.e.modelli di portafoglio) e di predisposizione ed esecuzione degli stress test.
Le competenze in calce vanno ad integrare quelle previste per gli istituti cheadottano metodi base
© 2008 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).
Riferimenti
Managing Team GRC – Basilea II in PricewaterhouseCoopers Advisory(Financial Services)
Pietro Penza – partnerAlessandro Di Lorenzo – directorGiovanni Pietrabissa - senior managerMatteo Ferrario – senior managerRoberto Rovere – managerAndrea Baciarello – managerAntonio Posa – manager
Allegato
Coinvolgimento della funzione IA nella verifica straordinaria chiesta da Bancad’Italia
Slide 36Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Comunicazione di Banca d’Italia del luglio 2008
Requisiti normativi impattanti la funzione di Internal Audit (IA)
La Banca d’Italia ad inizio luglio 2008 ha• richiamato gli intermediari affinché garantiscano un adeguato profilo
patrimoniale (sollecitando una capienza patrimoniale superiore a quellastrettamente richiesta dalla normativa)
• chiesto di eseguire, attraverso la funzione incaricata del presidio diconformità, una verifica straordinaria che le procedure e i processiaziendali, finalizzati alla determinazione della posizione patrimonialecomplessiva, garantiscano il rispetto della normativa circa:- gli elementi patrimoniali computati nel Patrimonio di Vigilanza- la quantificazione delle attività di rischio ponderate, con particolare
riferimento ai requisiti che le tecniche di attenuazione del rischio dicredito devono possedere per il loro utilizzo ai fini di calcolo delrequisito patrimoniale
Slide 37Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Implicazioni della comunicazione di Banca d’Italia del luglio 2008
Coinvolgimento della funzione IA nella verifica straordinaria
Per quanto la comunicazione di Banca d’Italia faccia esplicitamenteriferimento alla sola funzione responsabile delle “verifiche di conformità”, leattività straordinarie che ne sono scaturite hanno generalmente impattatoanche la funzione di IA, cui la funzione di compliance si è rivolta per ottenerecompetenze e supporto operativo su:• analisi dei processi di segnalazione di vigilanza e dei relativi controlli• verifica sulle applicazioni informatiche a supporto delle segnalazioni di
vigilanza, incluso l’ambiente di controllo IT (IT general controls)• controllo sulla correttezza del calcolo patrimoniale• esame della composizione del Patrimonio di Vigilanza, per valutarne la
corretta attribuzione
Slide 38Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Implicazioni della comunicazione di Banca d’Italia del luglio 2008
Coinvolgimento della funzione IA nella verifica straordinaria
Analisi dei processi di segnalazione di vigilanza e dei relativi controlli:• normalmente rientra nelle verifiche di una funzione IA e richiede una
comprensione dei macro processi di analisi quali/quantitativa dei rischi(credito, mercato, liquidità e operativi) e relativa misurazione / mitigazione,nonché del processo di produzione delle segnalazioni di vigilanza
Verifica sulle applicazioni informatiche a supporto delle segnalazioni divigilanza, incluso l’ambiente di controllo IT (IT general controls):• anch’essa generalmente nel novero dei controlli in carico all’audit interno
(IT audit), per quanto concerne l’identificazione dei sistemi IT in scope e lavalutazione dei controlli IT negli ambienti corrispondenti
Slide 39Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Implicazioni della comunicazione di Banca d’Italia del luglio 2008
Coinvolgimento della funzione IA nella verifica straordinaria
Controllo sulla correttezza del calcolo patrimoniale,• non strettamente attribuito all’IA dalla normativa e che richiede, soprattutto
in presenza di portafogli complessi o di modelli interni, competenze ogginon sempre presenti nell’IA; si concretizza infatti in:- individuazione dell’articolazione dei rischi e delle relative soglie di
rilevanza- identificazione della tipologia di test da eseguire, tenendo conto del
contesto della banca/gruppo (es.: composizione dei portafogli,caratteristiche delle controparti) e degli approcci di misurazione adottati
- estrapolazione dei casi di test, garantendo la significatività rispetto alcontesto
- esecuzione dei test (generalmente attraverso un calcolo indipendentedelle attività ponderate per il rischio)
Slide 40Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers
Gennaio 2009
Implicazioni della comunicazione di Banca d’Italia del luglio 2008
Coinvolgimento della funzione IA nella verifica straordinaria
Esame della composizione del Patrimonio di Vigilanza, per valutarne lacorretta attribuzione:• pur partendo dalla conoscenza delle disposizioni di Banca d’Italia sulla
costruzione del patrimonio di vigilanza (componenti ammessi) e dall’analisidi coerenza tra i principali elementi computati nel patrimonio di vigilanza ele principali voci di bilancio, può anch’esso richiedere competenze nonsempre presenti nell’IA e relative a: la corretta applicazione dei filtri prudenziali alle diverse fattispecie di
elementi positivi e negativi computati nel Patrimonio di Vigilanza l’analisi delle caratteristiche di almeno un campione di componenti
“complessi” (es.: strumenti innovativi di capitale, strumenti ibridi dipatrimonializzazione, passività subordinate…) per verificare se sianostati correttamente allocati al patrimonio, anche nel rispetto dei limitiregolamentari