Basilea II - Impatti sull'Internal Audit - aiea.it · Slide 14 Basilea II - Impatti sull'Internal...

AIEA - Giornata di studio 28 gennaio 2009 - Roma

Basilea II - Impatti sull'Internal AuditGennaio 2008

Financial Services

Agenda

La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IA

Sezione uno


Basilea II - Impatti sull'Internal AuditPricewaterhouseCoopers

Gennaio 2009

La disciplina prudenziale

La disciplina prudenziale si applica agli intermediari finanziari, in particolare,nella sua espressione più completa e complessa, alle banche ed ai gruppibancari

La disciplina prudenziale obbliga gli intermediari a dotarsi di adeguati sistemidi gestione e di copertura patrimoniale (se necessaria) per tutti i rischiconnessi alla propria attività

L’impianto della nuova disciplina “assicura, […], una misurazione accurata diun più ampio novero di rischi e una dotazione patrimoniale più strettamentecommisurata all’effettivo grado di esposizione al rischio di ciascunintermediario; stimola le banche a migliorare le prassi gestionali e le tecnichedi misurazione dei rischi, anche in ragione dei possibili risparmi patrimoniali”(*)

La nuova disciplina prudenziale – Basilea II

(*) Circolare 263 dicembre 2006 di Banca d’Italia, Titolo I, Cap. 1, Parte prima, Par. 1


Gennaio 2009

Struttura dell’accordo di Basilea II

Nuovo Accordo diBasilea

Disciplinadi mercato

Patrimoniominimo

richiesto

Controlloprudenziale

Nuovo Accordo diBasilea

Disciplinadi mercato

Patrimoniominimorichiesto

Controlloprudenziale

La normativa della 263 si applica su base consolidata a Gruppi b ancari e Banche indipendenti.Il primo Pilastro si applica anche su base individuale. Il Secondo e il Terzo pilastro si applicano solo su base consolidata.

Il Secondo Pilastro richiede alle banchedi dotarsi di una strategia e di unprocesso di controllo dell ’ adeguatezzapatrimoniale, attuale e prospettica, dadiscutere con l’Autorità di Vigilanza.

2

Rendicontazione ICAAP(Internal Capital Adequacy Assessment Process –

Processo di autovalutazione dell’adeguatezza patrimoniale)

Il Terzo Pilastro introduceobblighi di informativa alpubblico, riguardanti l’ade-guatezza patrimoniale, l’e-sposizione ai rischi e lecaratteristiche generali deirelativi sistemi di gestione econtrollo.

3

Report (14) contenentiinformazioni di tipo sia

qualitativo che quantitativo

Il Primo Pilastro introduce unrequisito patrimoniale perfronteggiare i rischi tipicidell’attività bancaria efinanziaria (di credito, dimercato, di controparte eoperativo).

1

Requisiti minimi di capitale

1 2 3



Gennaio 2009

Il Primo Pilastro – requisiti patrimoniali minimi

I requisiti patrimoniali vanno determinati, a regime, per tutti i rischi identificatidalla normativa ed applicabili alla banca / gruppo bancario

La nuova disciplina prudenziale permette comunque una certa flessibilità nellamisurazione dei rischi e dei requisiti patrimoniali corrispondenti, consentendol’uso di metodi con diversi livelli di complessità e sofisticazione:

Metodi base (talvolta detti anchestandardizzati), che utilizzano formulee parametri di calcolo descritti e fissatidirettamente nella normativa; sonosemplici, senza oneri di sviluppo emantenimento ma tendenzialmentemolto prudenti

Metodi basati su modelli interni, chedevono essere sviluppati, convalidati,provati e mantenuti dagli intermediarie autorizzati dal regolatore, mapossono offrire una rappresentazionedel rischio più aderente alla realtà delsingolo intermediario e, in diversi casi,un risparmio di capitale



Gennaio 2009

Il Primo Pilastro – adozione di modelli interni

L’adozione di modelli interni è considerata dalla stessa Banca d’Italia comeun’innovazione di carattere strategico, in quanto investe una molteplicità diaspetti relativi alla gestione della banca che non si limitano esclusivamentealla componente modellistica, ma includono il Governo societario ed ilcontrollo, l’Organizzazione e i processi, i Dati e i sistemi informativi


GovernoGovernosocietariosocietario ee

controllocontrollo

OrganizzazioneOrganizzazioneee ProcessiProcessi

MetodologieMetodologie eemodellimodelli

DatiDati ee sistemisistemiinformativiinformativi

Diversi gruppi bancari si sono mossisin dal 2002-2003 verso l’adozione dimetodi basati su modelli interni. Adoggi, anche in relazione allemodificazioni del mercato(acquisizioni/ fusioni), solo pochiintermediari sono stati autorizzati daBanca d’Italia all’uso dei propri modelli


Gennaio 2009

Il Secondo Pilastro - il processo ICAAP

L’ICAAP è il processo di controllo prudenziale previsto dal Secondo Pilastro(che indirizza la gestione di ulteriori rischi, oltre quelli di Primo Pilastro) ericade sotto la responsabilità della Capogruppo


L’ICAAP è il processo interno di determinazionedell’adeguatezza patrimoniale (Internal CapitalAdequacy Assessment Process)

Fa capo alle banche, le quali effettuano un’autonomavalutazione della propria adeguatezza patrimoniale,attuale e prospettica, in relazione ai rischi assunti e allestrategie aziendali

Il processo ICAAP è imperniato su idonei sistemi aziendali digestione dei rischi e presuppone adeguati meccanismi di governosocietario, una struttura organizzativa con linee di responsabil itàben definite, efficaci sistemi di controllo interno

La responsabilità di tale processo è rimessa agli organi societari, iquali ne definiscono in piena autonomia il disegno el’organizzazione secondo le rispettive competenze e prerogative

Il processo ICAAP deve essere documentato, conosciuto econdiviso dalle strutture aziendali e sottoposto a revisioneinterna

Determinare il capitale che le banche ritengono adeguato - per importo e composizione - alla coperturapermanente di tutti i rischi ai quali sono o potrebbero essere e sposte, anche diversi da quelli per i quali èrichiesto il rispetto dei requisiti patrimoniali.

Che cos’è l’ICAAP Le caratteristiche dell’ICAAP

Obiettivi dell’ICAAP

Sezione due

La nuova disciplina prudenziale – Basilea IIRequisiti normativi impattanti la funzione di Internal Audit (IA)Impatti organizzativi a regime sulla funzione di IACoinvolgimento della funzione IA nella verifica straordinaria


Gennaio 2009

La circolare 263 dicembre 2006 di Banca d’Italia

La circolare di Banca d’Italia n° 263 del dicembre 2006 rappresenta ilprincipale riferimento per la corretta applicazione della nuova disciplinaprudenziale in Italia

In fatto di controlli, essa integra la circolare n° 229 del aprile 1999 e costituiscela principale fonte da cui dedurre gli impatti della nuova disciplina sullafunzione di Internal Audit (IA)

Requisiti normativi impattanti la funzione di Internal Audit (IA)


Gennaio 2009

Gestione e controllo dei rischi – requisiti generali

“Organo con funzione di controllo.

L’organo con funzione di controllo vigila sull’adeguatezza e sulla rispondenzadel sistema di gestione e controllo dei rischi, nonché del processo ICAAP, airequisiti stabiliti dalla normativa. Per lo svolgimento delle proprie attribuzioni,tale organo dispone di adeguati flussi informativi da parte degli altri organiaziendali e delle funzioni di controllo interno.”(*)


(*) Titolo I Cap. 1 Parte quarta Par. 2.3


Gennaio 2009

Adozione di modelli interni


“Nelle banche che adottino sistemi interni di misurazione dei rischi per ladeterminazione dei requisiti patrimoniali, l’organo di controllo, avvalendosidell’apporto delle funzioni di controllo interno, valuta – nell’ambito dellapiù generale attività di verifica del processo di gestione e controllo del rischio –la funzionalità e l’adeguatezza del sistema stesso, nonché la rispondenzaai requisiti previsti dalla normativa.” (*)

Maggiori e più stringenti sono i requisiti normativi sul controllo in caso diadozione di metodi basati su modelli interni per il quale sono sintetizzati nelleslide seguenti

(*) Titolo I Cap. 1 Parte quarta Par. 2.3


Gennaio 2009

Adozione di modelli interni – controlli di primo livello


• Effettuati presso le strutture operative coinvolte nel processo di attribuzione del rating

• Possono essere di tipo automatico ovvero disciplinati da appositi protocolli operativi

• Finalizzati alla verifica• del corretto svolgimento delle attività propedeutiche all’assegnazione del rating:

– la scelta del modello appropriato per la valutazione del cliente o dell’operazione– l’individuazione delle connessioni di natura economica o giuridica tra i clienti

• del rispetto delle procedure interne volte all’acquisizione delle informazioni necessarie per l’attribuzione el’aggiornamento del rating

• delle verifiche sui singoli rating finali prodotti dai modelli– nei sistemi incentrati sulla componente automatica, riguardano la completezza degli elementi valutativi presi

in considerazione e si estendono alle modalità di trattamento delle informazioni qualitative oggettivizzate;– nell’ambito dei sistemi di rating che prevedono l’integrazione dei giudizi automatici con una componente

discrezionale, sono finalizzate a verifiche la coerenza delle motivazioni alla base delle proposte di overridecon i criteri definiti dalla normativa interna.

Rischi di Credito


Gennaio 2009

Adozione di modelli interni – controlli di primo livello


• La banca istituisce una funzione di controllo dei rischi operativi.

• I compiti che spettano a tale funzione attengono:• alla progettazione, sviluppo e manutenzione dei sistemi di gestione e di misurazione dei rischi operativi; tali attività

riguardano, tra l’altro, il sistema di raccolta e conservazione dei dati, il sistema di reporting nonché la valutazionedel profilo di rischio operativo;

• alla determinazione del requisito patrimoniale sui rischi operativi. Ai fini di un efficace svolgimento di tale funzione,la banca individua le soluzioni organizzative ritenute più idonee.

• La funzione di controllo sui rischi operativi può coinvolgere varie strutture della banca ferma la necessità che laresponsabilità del coordinamento e della supervisione delle varie attività sia univocamente assegnata.

• Per lo svolgimento di tale funzione, la banca utilizza risorse con adeguata professionalità nella gestione e nellemetodologie di misurazione dei rischi operativi e con approfondita conoscenza dei processi aziendali.

• La funzione di controllo sui rischi operativi deve tenere informati gli organi aziendali sulle attività svolte e sui risultati diqueste.

Rischi Operativi


Gennaio 2009

Adozione di modelli interni – controlli di secondo livello(convalida)


• Insieme formalizzato di attività, strumenti e procedure volte a valutare l’accuratezza delle stime di tutte le componentirilevanti di rischio e a esprimere un giudizio in merito al regolare funzionamento, alla capacità predittiva e allaperformance complessiva del sistema IRB adottato.

• L’attività di convalida si sostanzia nella verifica sia dei requisiti quantitativi sia di quelli organizzativi previsti in materia disistemi di rating.

• Il processo di convalida deve essere affidato ad una funzione indipendente:• dalle funzioni coinvolte nelle attività di assegnazione del rating e di erogazione del credito;• dalla funzione che sviluppa il sistema di rating;• dalla funzione che svolge attività di revisione interna e che sottopone a verifica il processo e l’esito della convalida.

• La funzione di convalida inoltre:• deve potersi avvalere di risorse dotate di competenze idonee al contenuto specialistico dei compiti da svolgere;• è affidata ad un responsabile che

– non deve trovarsi in situazione di dipendenza gerarchica rispetto ai soggetti responsabili delle attività diassegnazione del rating ed erogazione del credito

– sovrintenda alle attività di convalida assicurando l’unitarietà del processo, anche in presenza di una pluralitàdi funzioni coinvolte.

Rischi di Credito


Gennaio 2009

Adozione di modelli interni – controlli di secondo livello(convalida)


• Il processo di convalida interna è costituito da un insieme strutturato di procedure e attività volte a valutare su basecontinuativa la qualità dei sistemi di gestione e di misurazione dei rischi operativi e la loro rispondenza nel tempo alleprescrizioni normative, alle esigenze aziendali e all’evoluzione del mercato di riferimento. In tali attività è compresa laverifica dell’affidabilità del calcolo del requisito patrimoniale nonché l’accertamento dell’utilizzo del sistema dimisurazione nell’ambito dei processi decisionali e nella gestione dei rischi operativi.

• La responsabilità del processo di convalida interna deve essere univocamente attribuita.

• Il processo di convalida interna deve avvalersi di risorse caratterizzate da idonee competenze specialistiche eprevalentemente indipendenti dai responsabili delle attività che generano o subiscono le perdite operative.

• Il processo di convalida è indipendente dalla funzione di revisione interna, che sottopone a verifica il processo e l’esitodella convalida. Nel caso in cui la convalida interna venga svolta da soggetti o unità coinvolti nello sviluppo dei sistemi digestione e di misurazione dei rischi, l’attività di revisione deve accertare, in particolare, il grado di oggettività delprocesso e dei suoi risultati.

• I risultati del processo di convalida devono essere adeguatamente documentati e periodicamente sottoposti alla funzionedi revisione interna, ad altre strutture o funzioni interessate e agli organi aziendali.

• Nell’ambito di questa informativa specifico rilievo va dato agli aspetti del sistema di gestione e misurazione dei rischioperativi suscettibili di miglioramento, anche in relazione a modifiche nella struttura e nell’operatività della banca, e allevalutazioni in merito al rispetto dei requisiti di idoneità.

Rischi Operativi


Gennaio 2009

Adozione di modelli interni – controlli di terzo livello (revisioneinterna)


• La funzione di revisione interna valuta la funzionalità del complessivo assetto dei controlli sul sistema di rating. Inparticolare, sottopone a revisione il processo di convalida verificando l’adeguatezza e la completezza delle attività svoltedalla competente funzione, la coerenza e fondatezza dei risultati della convalida, nonché la perdurante conformità delsistema IRB ai requisiti stabiliti dalla normativa.

• Nell’ambito del processo di revisione interna svolge, tra l’altro, le seguenti attività:• verifica il rispetto delle normative e procedure che presiedono alle diverse fasi del funzionamento del sistema di

rating e valuta il grado di indipendenza della funzione di convalida;• analizza le attività di riconciliazione tra le procedure gestionali ed i sistemi di rating;• valuta l’adeguatezza ed affidabilità della funzione informatica e delle relative risorse, delle infrastrutture

informatiche, delle caratteristiche strutturali e di alimentazione delle base dati e dei sistemi di anagrafe a supportodel sistema di rating;

• compie verifiche mirate ad accertare l’effettivo utilizzo del sistema di rating nella gestione aziendale.

• La revisione interna deve predisporre per organi aziendali con cadenza almeno annuale un documento conclusivo cheillustri le attività e i relativi esiti, dando specifica

Rischi di Credito


Gennaio 2009

Adozione di modelli interni – controlli di terzo livello (revisioneinterna)


• La funzione di revisione interna effettua verifiche periodiche sui sistemi di gestione e di misurazione dei rischi operativi alfine di valutarne l’efficacia e la conformità con i requisiti di idoneità.

• In tale ambito sono comprese le verifiche sul processo di convalida interna - al fine di accertarne l’adeguatezza, lacompletezza, l’oggettività e la coerenza dei risultati - e sull’effettivo utilizzo a fini gestionali del sistema di misurazione deirischi operativi.

• Particolare attenzione va, altresì, rivolta alle componenti del sistema di misurazione finalizzate al calcolo del requisito,tra cui la qualità dei dati e dei sistemi informativi.

• La revisione interna deve tenere informati gli organi aziendali in ordine all’attività svolta e ai relativi esiti.

• Con cadenza annuale, la funzione di revisione interna predispone una relazione che illustra le attività svolte in materia direvisione dei sistemi di gestione e di misurazione dei rischi operativi, dando specifica evidenza alle criticità rilevate e agliinterventi correttivi proposti.

Rischi Operativi


Gennaio 2009

Processo ICAAP

“Il processo ICAAP è imperniato su idonei sistemi aziendali di gestione deirischi e presuppone adeguati meccanismi di governo societario, una strutturaorganizzativa con linee di responsabilità ben definite, efficaci sistemi dicontrollo interno.” (*)

“La determinazione del capitale interno complessivo e del capitalecomplessivo […] richiede il coinvolgimento di una pluralità di strutture eprofessionalità (funzioni di pianificazione, risk management, internal audit,contabilità, etc.) […]” (**)


(*) Titolo III Cap. 1 Sezione I Par. 1(**) Titolo III Cap. 2 Sezione seconda par. 5


Gennaio 2009

“Schema di riferimento per il resoconto ICAAP:

[…] 2) governo societario, assetti organizzativi e sistemi di controllo internoconnessi con l’ICAAP

[…] d) definizione del ruolo e delle funzioni assegnati a fini ICAAP alle variefunzioni aziendali (ad esempio: internal auditing; compliance; pianificazione;risk management; eventuali altre strutture, tra le quali: strutture commerciali diDirezione generale e di rete, contabilità e controllo contabile)” (*)

Processo ICAAP – il resoconto ICAAP


(*) Titolo III Cap. 2 Sezione II Allegato E

Sezione tre



Gennaio 2009

Banche che adottano metodi base ai fini del primo pilastro

Impatti organizzativi a regime sulla funzione di IA

L’impatto del nuovo framework regolamentare sulle funzioni di auditing di talibanche è limitato perchè non adottano modelli interni• Tematica rilevante è rappresentata dalle tecniche di Credit Risk Mitigation

(CRM). L’audit dovrà presidiare le logiche di definizione e le modalitàimplementative

• Nella prima fase di adozione della nuova regolamentazione, particolareattenzione dovrà essere posta sui sistemi segnaletici

• Nel caso in cui vengano adottate metodologie evolute di determinazionedei requisiti di capitale ai fini del secondo pilastro, l’Internal Auditing dovràverificare il processo di validazione interna di tali metodologie


Gennaio 2009

Banche che adottano modelli interni


Gli impatti maggiori riguardano le banche che adottano modelli interni dideterminazione dei requisiti di primo e secondo pilastro, nelle quali, oltre asvolgere le verifiche già citate (per esempio sulla CRM), l’IA è chiamato aduna serie di compiti aggiuntivi:• Nel sottoporre a revisione l’intero processo di sviluppo e di convalida dei

modelli, l’IA non si limita ad un’analisi documentale dei controlli eseguiti edei risultati ma, ove evidenzi criticità o issue, effettua delle verifiche anchedi tipo quantitativo sull’accuratezza dei modelli stessi

• Verifica, tramite le tradizionali attività ispettive sulla rete, che il sistemabasato sui modelli interni giochi un ruolo essenziale nell’intero processo diaffidamento (use test)

• Effettua approfondimenti diretti sui sistemi IT (congruità e integrità dellebasi dati, procedure di alimentazione, segnalazioni….)


Gennaio 2009

Il ruolo dell’Internal Auditing nel secondo pilastro


E’ possibile ipotizzare gli interventi di audit in relazione a ciascuna fase del processoICAAP.

FASE 1Determinazione degli elementi di

capitale

FASE 2Individuazione dei rischi da valutare

FASE 4Determinazione capitale interno

complessivo

FASE 5Determinazione degli elementi

patrimoniali e riconciliazione con PV

FASE 6Autovalutazione

FASE 3Stima dei rischi


Gennaio 2009



FASE 1Determinazione degli elementi

di capitale

FASE 2Individuazione dei rischi

da valutare

• La coerenza tra le scelte in termini di obiettivi di capitale(espresse sia in termini di propensione al rischio che diallocazione del capitale alle linee operative/categorie di rischio)con gli obiettivi strategici definiti dall’Alta Direzione e con ilcontesto operativo.

• La coerenza della propensione al rischio (Risk Appetite), ovvero ilcapitale interno target che l’intermediario è disposto a mettere arischio.

• La correttezza del processo di individuazione dei rischi rilevantirispetto all’operatività ed all’orientamento strategico della banca.

• L’applicazione di un adeguato criterio di materialitànell’individuazione dei rischi.

• La corretta classificazione dei rischi in gestibili, misurabili emitigabili.

L’Internal Auditing, pertanto, verifica:


Gennaio 2009



• L’adeguatezza delle metodologie di stima adottate.

• La qualità dei dati utilizzati.

• La verosimiglianza delle ipotesi sottostanti i modelli.

• La robustezza dei risultati conseguiti.

• L’adeguatezza delle metodologie di stress e degli scenariipotizzati nonché l’interpretazione dei risultati

In caso di adozione di metodologie di aggregazione dei rischibasate sulle correlazioni tra i rischi stessi, verifica:

• la consistenza delle metodologie adottate

• la prudenzialità delle ipotesi sottostanti

• la stabilità dei risultati.

FASE 4Determinazione capitale

interno complessivo

FASE 3Stima dei rischi


Gennaio 2009



FASE 5Determinazione degli

elementi patrimoniali ericonciliazione con PV

In caso di adozione di una definizione di Capitale Complessivodiversa da quella di Patrimonio di Vigilanza, valuta:

• le scelte effettuate in termini di poste patrimoniali da imputare aCapitale Complessivo;

• il processo di riconciliazione del Capitale Complessivo con ilPatrimonio di Vigilanza.

• La correttezza delle aree di miglioramento identificate dallesingole strutture organizzative.

• L’adeguatezza degli interventi previsti.

FASE 6Autovalutazione


Gennaio 2009



l’Internal Audit valuta inoltre:• il grado di coinvolgimento e di consapevolezza dell’Alta Direzione e delle

diverse funzioni aziendali• l’adeguata definizione e formalizzazione del processo• il corretto recepimento della normativa interna redatta ai fini ICAAP• l’efficacia delle policy di mitigazione per il contenimento dei rischi per i quali

il capitale economico non è un mitigant (es. liquidità e reputazione)• il livello di approfondimento ed estensione della documentazione ICAAP

predisposta per la Banca d’Italia


Gennaio 2009

Libro bianco dell’ABI


Nel corso del 2008 ABI ha promosso un gruppo di lavoro tematico sugli impattidel Secondo Pilastro della normativa di Basilea 2

Al gruppo di lavoro, coordinato da ABI con la collaborazione diPricewaterhouseCoopers, hanno partecipato 24 intermediari

Il risultato del lavoro, sviluppatosi anche attraverso incontri con il regolatore, èracchiuso in un libro bianco sul Secondo Pilastro pubblicato di recente

Tra l’altro, il libro bianco riporta le ricadute dell’applicazione del SecondoPilastro, ed in particolare del processo ICAAP, sulla funzione IA


Gennaio 2009



All’interno del gruppo di Lavoro sono emersi approcci diversi in relazione al ruolo didettaglio svolto dalla funzione di Internal Audit nell’ambito dell’autovalutazione, chepossono essere sintetizzati in un approccio “minimale” e un approccio “estensivo”

Approccio “minimale”:

Nell’approccio “minimale” la funzione dell’Internal Audit è quella strettamenteprevista dalla Circolare 263, ovvero di verifica di anomalie rispetto alle procedurestabilite e di valutazione complessiva del sistema di controllo interno, con unalimitata funzione propositiva. I sostenitori di questo approccio ritengono che unafunzione più “invasiva” e orientata agli aspetti gestionali minerebbe la terzietà e ilruolo super partes dell’audit. In questo approccio, ciascuna funzione coinvolta nelprocesso effettua una valutazione dello stesso per la parte che la interessa epropone eventuali modifiche, ferma restando la funzione di presidio sul sistema deicontrolli dell’Internal Audit


Gennaio 2009



Approccio “estensivo”:

Nell’approccio “estensivo” la funzione dell’Internal Audit è molto più invasiva inquanto non solo esegue una valutazione del processo ICAAP e della proposta dimiglioramenti di tipo organizzativo, ma si estende anche alla valutazione degliapprocci metodologici sottostanti alle stime dei requisiti di capitale su tutti i rischi edalla valutazione della ragionevolezza / congruità dell’output dell’ICAAP. Per i rischi diSecondo Pilastro, l’Internal Audit svolge anche la funzione di “convalida interna”, chenel Primo Pilastro è generalmente svolta da una funzione aziendale “ad-hoc”

Il processo di “autovalutazione” eseguito dalla funzione IA replica internamentel’attività svolta dall’organo di vigilanza (c.d. SREP – Supervisory Review Process)


Gennaio 2009

Le competenze dell’Internal Auditing


È possibile ipotizzare una mappa delle competenze della funzione diInternal Auditing, distinguendo tra istituti che adottano metodi base e istitutiche adottano modelli interni

Aree diCompetenze

Competenze richieste

ProcessiCompetenze di auditing di processo (del credito e di gestione dei rischioperativi)Conoscenza approfondita delle tecniche di CRM

ITConoscenza ad alto livello del sistema IT sottostante i processi aziendaliConoscenza dei sistemi segnaletici e di gestione delle garanzie

ModelliComprensione ad alto livello di eventuali modelli di misurazione e monitoraggiodei rischi, generalmente semplici ed utilizzati ai fini gestionali

Secondo Pilastro Capacità di valutare l'adeguatezza del processo di determinazione dei requisitipatrimoniali anche in relazione agli indirizzi strategici dell'azienda.

Istituti che adottano metodi base


Gennaio 2009

Le competenze dell’Internal Auditing


Aree diCompetenze

Competenze richieste

ProcessiConoscenza degli impatti del rating sul processo del creditoConoscenza del sistema di misurazione e gestione dei rischi operativi

ITCompetenze approfondite di IT audit e buona conoscenza dell'architetturainformatica sottostante il sistema di rating

ModelliCompetenze quantitative per analizzare i processi di sviluppo dei modellinonché per effettuare autonome verifiche di accuratezza degli stessi

Secondo PilastroConoscenza delle metodologie di misurazione dei rischi di secondo pilastro (i.e.modelli di portafoglio) e di predisposizione ed esecuzione degli stress test.

Le competenze in calce vanno ad integrare quelle previste per gli istituti cheadottano metodi base

© 2008 PricewaterhouseCoopers. All rights reserved. “PricewaterhouseCoopers” refers to the networkof member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independentlegal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).

Riferimenti

Managing Team GRC – Basilea II in PricewaterhouseCoopers Advisory(Financial Services)

Pietro Penza – partnerAlessandro Di Lorenzo – directorGiovanni Pietrabissa - senior managerMatteo Ferrario – senior managerRoberto Rovere – managerAndrea Baciarello – managerAntonio Posa – manager

Allegato

Coinvolgimento della funzione IA nella verifica straordinaria chiesta da Bancad’Italia


Gennaio 2009

Comunicazione di Banca d’Italia del luglio 2008


La Banca d’Italia ad inizio luglio 2008 ha• richiamato gli intermediari affinché garantiscano un adeguato profilo

patrimoniale (sollecitando una capienza patrimoniale superiore a quellastrettamente richiesta dalla normativa)

• chiesto di eseguire, attraverso la funzione incaricata del presidio diconformità, una verifica straordinaria che le procedure e i processiaziendali, finalizzati alla determinazione della posizione patrimonialecomplessiva, garantiscano il rispetto della normativa circa:- gli elementi patrimoniali computati nel Patrimonio di Vigilanza- la quantificazione delle attività di rischio ponderate, con particolare

riferimento ai requisiti che le tecniche di attenuazione del rischio dicredito devono possedere per il loro utilizzo ai fini di calcolo delrequisito patrimoniale


Gennaio 2009

Implicazioni della comunicazione di Banca d’Italia del luglio 2008

Coinvolgimento della funzione IA nella verifica straordinaria

Per quanto la comunicazione di Banca d’Italia faccia esplicitamenteriferimento alla sola funzione responsabile delle “verifiche di conformità”, leattività straordinarie che ne sono scaturite hanno generalmente impattatoanche la funzione di IA, cui la funzione di compliance si è rivolta per ottenerecompetenze e supporto operativo su:• analisi dei processi di segnalazione di vigilanza e dei relativi controlli• verifica sulle applicazioni informatiche a supporto delle segnalazioni di

vigilanza, incluso l’ambiente di controllo IT (IT general controls)• controllo sulla correttezza del calcolo patrimoniale• esame della composizione del Patrimonio di Vigilanza, per valutarne la

corretta attribuzione


Gennaio 2009



Analisi dei processi di segnalazione di vigilanza e dei relativi controlli:• normalmente rientra nelle verifiche di una funzione IA e richiede una

comprensione dei macro processi di analisi quali/quantitativa dei rischi(credito, mercato, liquidità e operativi) e relativa misurazione / mitigazione,nonché del processo di produzione delle segnalazioni di vigilanza

Verifica sulle applicazioni informatiche a supporto delle segnalazioni divigilanza, incluso l’ambiente di controllo IT (IT general controls):• anch’essa generalmente nel novero dei controlli in carico all’audit interno

(IT audit), per quanto concerne l’identificazione dei sistemi IT in scope e lavalutazione dei controlli IT negli ambienti corrispondenti


Gennaio 2009



Controllo sulla correttezza del calcolo patrimoniale,• non strettamente attribuito all’IA dalla normativa e che richiede, soprattutto

in presenza di portafogli complessi o di modelli interni, competenze ogginon sempre presenti nell’IA; si concretizza infatti in:- individuazione dell’articolazione dei rischi e delle relative soglie di

rilevanza- identificazione della tipologia di test da eseguire, tenendo conto del

contesto della banca/gruppo (es.: composizione dei portafogli,caratteristiche delle controparti) e degli approcci di misurazione adottati

- estrapolazione dei casi di test, garantendo la significatività rispetto alcontesto

- esecuzione dei test (generalmente attraverso un calcolo indipendentedelle attività ponderate per il rischio)


Gennaio 2009



Esame della composizione del Patrimonio di Vigilanza, per valutarne lacorretta attribuzione:• pur partendo dalla conoscenza delle disposizioni di Banca d’Italia sulla

costruzione del patrimonio di vigilanza (componenti ammessi) e dall’analisidi coerenza tra i principali elementi computati nel patrimonio di vigilanza ele principali voci di bilancio, può anch’esso richiedere competenze nonsempre presenti nell’IA e relative a: la corretta applicazione dei filtri prudenziali alle diverse fattispecie di

elementi positivi e negativi computati nel Patrimonio di Vigilanza l’analisi delle caratteristiche di almeno un campione di componenti

“complessi” (es.: strumenti innovativi di capitale, strumenti ibridi dipatrimonializzazione, passività subordinate…) per verificare se sianostati correttamente allocati al patrimonio, anche nel rispetto dei limitiregolamentari

Basilea II - Impatti sull'Internal Audit - aiea.it · Slide 14 Basilea II - Impatti sull'Internal...

Documents

Transcript of Basilea II - Impatti sull'Internal Audit - aiea.it · Slide 14 Basilea II - Impatti sull'Internal...