Post on 15-Feb-2019
Il sistema dei controlli interni: considerazioni sulla evoluzione del ruolo e responsabilità della funzione di internal audit nelle banche
CETIF Milan, 10th of April 2014
Ranieri de Marchis – CAE Unicredit Spa
2
AGENDA
1. Evoluzione del ruolo dell'Internal Audit e del Sistema dei Controlli Interni (SCI)
2. Quadro regolamentare: principali riferimenti alla Funzione
di Internal Audit
3. Le novità delle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013
4. La valutazione del Sistema dei Controlli Interni: da un approccio a silo ad un approccio integrato
5. Il contributo dell'associazione AIIA nel rafforzare la valutazione dello SCI
3
Osserva e valuta problemi aziendali di natura contabile e finanziaria
In staff alla Direzione Amministrativa
1. Evoluzione del ruolo dell'Internal Audit e del Sistema dei Controlli Interni (SCI)
Ispettorato "classico"
Supporto alla Società di Revisione
Compiti e responsabilità definiti da Alta Direzione Riferisce a CdA, CS, Alta Direzione
Approccio "reattivo"
3* linea di difesa
Effettua controlli su regolarità operatività e andamento dei rischi
Valuta la funzionalità del complessivo sistema dei controlli interni
1999 ante 1999 2000 e post 2013 e oltre
Esplica attività indipendente ed obiettiva di assurance e consulenza
Piano di audit risk-based
Portatore di valore aggiunto nella valutazione e miglioramento dei processi di controllo, di gestione dei rischi e di corporate governance
Riporto gerarchico al CdA - Comitato Controllo Interno e Rischi
Rafforzamento della valutazione olistica sul sistema di controllo interno
Controlla il regolare andamento dell'operatività e l'evoluzione dei rischi
Valuta la completezza, adeguatezza, funzionalità (in termini di efficienza ed efficacia) e l'affidabilità del Sistema dei Controlli Interni e del sistema informativo
Valutazione dell'efficacia del processo di definizione del RAF (Risk appetite Framework)
Funzione Indipendente
Riporta su miglioramenti alle politiche di gestione dei rischi, strumenti di misurazione e procedure
Agente proattivo del cambiamento
4 4
2. Quadro regolamentare: principali riferimenti alla Funzione di Internal Audit 1/4
Principi base (di "connotazione"; "prestazione") applicabili internazionalmente per lo sviluppo delle attività e per la valutazione dell’efficacia dell’attività di assurance e di consulenza
IIA / AIIA*– Standards per la pratica professionale dell'Internal Audit
Comitato per la Corporate Governance – Codice di Autodisciplina per le Società Quotate (2011)
Resp. IA in dipendenza gerarchica dal CdA che delibera su nomina, revoca, remunerazione
Il Comitato Controllo e Rischi monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza di IA e ne esamina le relazioni e piano di audit
* Institute of Internal Auditors – Associazione Italiana Internal Auditors
Consob – Banca d'Italia Regolamento MiFID (2007); Comunicazione congiunta (2011)
Compiti IA su verifiche su prestazione dei servizi di investimento e confini con attività della f.ne Compliance (II livello) che può ingaggiare IA con accordi di servizio
EBA (European Banking Authority) – Guidelines on Internal Governance (2011)
IA valuta l'efficacia ed l'efficienza dell'internal control framework, incluse verifiche su F.ne Rischi e Conformità
BCBS (Basel Committee on Banking Supervision) – The internal audit function in banks (2012)
Ambito dell'attività IA ampliato (su temi di rischio e risk reporting)
Scambio di informazioni ("two-way") diretto, periodico e costruttivo con AAVV sui rischi e risposte management
FSB (Financial Stability Board) – Thematic review on Risk Governance (2013)
IA effettua una valutazione indipendente del risk governance framework
2. Quadro regolamentare: framework organizzativo tradizionale 2/4
5
1°
2°
CDA
Controlli di linea
Rev. Interna
Compliance Risk Management
3°
Controlli periodici sui rischi e sulla conformità:
• assicurare la corretta attuazione del processo di gestione dei rischi
• rispetto dei limiti operativi
• conformità dell'operatività aziendale alle norme
Controlli continui di linea: diretti ad assicurare il corretto svolgimento delle operazioni (controlli di tipo gerarchico, sistematici e a campione)
Revisione Interna:
• individuare violazioni delle procedure e regolamentazione
• valutare completezza, adeguatezza, funzionalità e affidabilità del Sistema dei Controlli Interni e del sistema informativo
Varie funzioni svolgono controlli di carattere continuo e periodico
3 Linee di difesa
6
2. Quadro regolamentare: diversi contributori e diversi stakeholders 3/4
Assurance indipendente sull'idoneità del Sistema di Controlli Interni Internal Audit (3° livello)
Assurance sulle tipologie di rischio presidiate per competenza Funzioni di Controllo (2°livello)
Attestazione sulla conformità del Bilancio di esercizio Società di Revisione esterna
Attestazione sulla tenuta del Modello di organizzazione e gestione ai sensi del D.lgs. 231/2001
Organismo di Vigilanza 231
Self-assessment manageriale dei sistemi e presidi di controllo che insistono sulle proprie attività/business
Management (1° livello)
Istituzione e mantenimento di un efficace Sistema dei Controlli da parte dell'Amministratore Delegato
Valutazione del Sistema dei Controlli da parte del Consiglio di Amministrazione e del Comitato Controllo e Rischi
Collegio Sindacale Vigilanza
Efficacia ed efficienza fondamentali nella valutazione dello SCI
7
Self – Assessment del Management
Relazioni annuali: Rating interno Rischi di mercato Rischio di controparte Rischi operativi Rischio di liquidità ICAAP Attività in outsourcing *
Valutazione complessiva del sistema di controllo interno
(Valutazione Professionale)
La reliance è fondata sull'assessment delle funzioni di compliance e risk management
2. Quadro regolamentare: le fonti informative dell'Internal Audit 4/4
Assurance rilasciata da terze parti: Autorità di
Vigilanza Società di
revisione
Report di Audit
Report della funzione di Risk Management
Report della funzione di Compliance
Audit tracking
Relazione periodica dell'Internal Audit sulle attività svolte
* Con decorrenza dal 2014
Attività di revisione e consulenza
8
Le disposizioni introducono novità di rilievo al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale ed affidabile.
Impatti rilevanti della normativa sugli organi di governo e controllo
3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 1/5
L'organo di supervisione strategica ha il compito di favorire la diffusione di una cultura dei controlli attraverso l'approvazione di un codice etico al quale sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. L'organo di supervisione strategica approva uno specifico
documento in cui sono precisati compiti, responsabilità e modalità di coordinamento/collaborazione tra le varie funzioni di controllo coinvolte.
L'organo con funzioni di gestione è chiamato ad avere un'approfondita comprensione di tutti i rischi aziendali e nell'ambito della gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno (incluso il rischio macroeconomico).
9
1 Ruolo sempre più centrale nel Sistema dei Controlli Interni
Impatti rilevanti per la Funzione Internal AUDIT
3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 2/5
"Valuta la completezza, l'adeguatezza, la funzionalità, l'affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, del processo di gestione dei rischi e degli altri processi aziendali, avendo riguardo anche alla capacità di individuare errori ed irregolarità"
2 Attività rivolta non solo alla verifica del processo di gestione dei
rischi ma anche del processo di definizione delle politiche di governo dei rischi
"Valuta l'efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell'operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali"
10
3 Crescente interazione funzionale con le altre componenti di controllo dell’impresa
Impatti rilevanti per la Funzione Internal AUDIT
3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 3/5
"Le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l'operatività aziendale" "I responsabili della funzione di controllo dei rischi e della funzione di conformità informano il responsabile della funzione di revisione interna delle criticità rilevate nelle proprie attività di controllo che possano essere di interesse per l'attività di audit" "Il responsabile della revisione interna informa i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarità emerse nel corso delle attività di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime"
11
Rafforzamento del reporting direzionale verso gli Organi Aziendali
Impatti rilevanti per la Funzione Internal AUDIT
3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 4/5
" … Fermo restando che i destinatari delle comunicazioni delle attività di verifica sono gli organi aziendali e le unità sottoposte a controllo… potere per la funzione IA di comunicare in via diretta i risultati degli accertamenti e delle valutazioni agli organi aziendali. Gli esiti degli accertamenti conclusisi con giudizi negativi o che evidenzino carenze di rilievo sono trasmessi integralmente, tempestivamente e direttamente agli organi aziendali"
4
12
5
Impatti rilevanti per la Funzione Internal AUDIT
3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 5/5
" …verifica l'adeguatezza, l'affidabilità complessiva e la sicurezza del sistema informativo (ICT audit)" " controlla regolarmente il piano aziendale di continuità operativa; prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, propone modifiche sulla base delle mancanze riscontrate; controlla i piani di continuità operativa dei fornitori di servizi e dei fornitori critici"
Rilevanza delle verifiche audit in relazione al sistema informativo ed al piano aziendale di continuità operativa
13 13
Un adeguato sistema dei controlli interni favorisce la diffusione di una corretta cultura dei rischi intesa come norme di comportamento che determinano una capacità
collettiva ad identificare, comprendere, discutere apertamente e a gestire i rischi correnti e futuri di un'organizzazione
basata su un solido ed articolato sistema di valori aziendali
promossa da un'effettiva governance dei rischi, da un effective risk appetite e da una corretta politica di remunerazione.
La funzione di Internal Audit interviene, quindi, nel valutare che le componenti della Risk Culture siano fatte proprie dall'organizzazione aziendale a tutti i livelli
4. La valutazione del Sistema dei Controlli Interni: Risk Control Culture 1/4
FSB (Guidance on Supervisory Interaction with Financial Institutions on Risk Culture ha emesso di recente (7 aprile 2014) delle linee guida sul tema, fornendo anche un set di indicatori
14 14
TONE FROM THE TOP – CdA e Senior Management sono il punto di partenza per definire i valori aziendali e la risk culture Governare attraverso l'esempio Valutare la control culture e i valori aziendali Assicurare una comprensione e consapevolezza comune dei rischi Imparare dalle esperienze precedenti
ACCOUNTABILITY – Attribuzione della titolarità dei rischi e azioni/comportamenti conseguenti Chiara definizione di responsabilità per la gestione dei rischi Definizione del processo di escalation Definizione del processo di sanzioni interne
EFFECTIVE COMMUNICATION and CHALLENGE – Una comunicazione efficace determina processi decisionali che includono visioni diverse, stimolando dialogo e critica costruttiva Apertura verso opinioni differenti Autorevolezza delle funzioni di controllo
INCENTIVES – Il sistema di remunerazione e performance interviene nel fissare comportamenti aziendali allineati al profilo di rischio Politiche di remunerazione e valutazione Politiche di successione dei ruoli di responsabilità e sviluppo dei "talenti aziendali"
2
3
4
1
4. La valutazione del Sistema dei Controlli Interni: Risk Control Culture 2/4
Indicatori Risk Culture – FSB 2014
4. La valutazione del Sistema dei Controlli Interni: da un approccio per silo….. 3/4
15
La valutazione degli organi di supervisione strategica si fonda su una complessa e variegata reportistica proveniente da diversi "silos" interni ed esterni.
Management Risk
Management Compliance External
auditors Internal Audit
• Assicurare il control self assessment ed il relativo testing
• Assicurare l'implementazione delle azioni correttive necessarie al superamento delle deficiencies individuate dalle funzioni di controllo
• Assicurare l'implementazione dell'approccio di risk management
• Set up del Risk Appetite framework
• Identificare gli emerging risks
• Predisporre il risk reporting dashboard
• Verificare l'adeguatezza della regolamentazione interna alla normativa di compliance
• Assicurare attività di consulenza e advice nel perimetro di compliance
• Assicurare l'assurance sulla conformità del bilancio
• Assicurare una attività indipendente ed obiettiva di assurance e consulenza finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione
Favorire lo scambio di informazioni
4. La valutazione del Sistema dei Controlli Interni: …..a un approccio integrato 4/4
16
L'approccio integrato richiede:
La pianificazione concertata di valutazione dei rischi
La tassonomia comune dei rischi
Una metodologia condivisa di identificazione e classificazione dei rischi
La standardizzazione della reportistica
L'adozione di tale approccio beneficia l'organizzazione attraverso il superamento di: Inefficienze dovute a sovrapposizioni nelle attività
delle funzioni di controllo
Ridotta efficacia del reporting diretto al Board
Costi significativi per azioni correttive non omnicomprensive e per interventi non coordinati su attività di business
Domani: giungere ad un'unica valutazione
MANAGEMENT RISK MANAGEMENT/ COMPLIANCE
EXTERNAL AUDIT ED ESPERTI ESTERNI INTERNAL AUDIT
Integrated Assurance: • Struttura dati comune • Risk Approach condiviso (processi,
tassonomia , controlli e cause) • Tecnologia comune
Stakeholders
Board of Directors
17
5. Il contributo dell'Associazione Italiana Internal Auditors (AIIA) nel rafforzare la valutazione dello SCI 1/2
Il contributo degli ultimi anni
Risposta alla procedura di consultazione della Banca d’Italia “Sistema dei controlli interni, sistema informativo e continuità
operativa” ott 2012
Workshop “L’Internal Audit nel nuovo contesto regolamentare: opportunità e rischi” dic 2012
Workshop “Controlli di Secondo e Terzo livello…diverse responsabilità, un unico obiettivo” apr 2013
Workshop “Audit sul processo ICAAP” nov 2013
Position Paper e Workshop su “Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle
banche e nei gruppi bancari - Ruolo e Responsabilità della Funzione di Internal Audit”
gen 2014
mar 2014
Giornata di formazione "Le Nuove Disposizioni di Vigilanza: novità ed opportunità per l'Internal Audit"
gen 2014 Risposta alla procedura di consultazione della Banca d’Italia
“Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle banche e nei gruppi bancari"
DO
NE
18
5. Il contributo dell'Associazione Italiana Internal Auditors (AIIA) nel rafforzare la valutazione dello SCI 2/2
Working Group: avviato Deliverable atteso: Workshop con l’obiettivo di condividere le
esperienze dei partecipanti al WG ed aprire un tavolo di confronto e discussione in sede associativa
Sistema dei controlli integrato
Risk control culture
TO D
O
201
4
Working Group: da avviare nella seconda metà dell'anno Deliverable atteso: identificare approcci e modalità di audit
utilizzabili nella valutazione della Risk Control Culture all'interno delle organizzazioni