I sistemi di controllo interno negli intermediari ... · Workshop “Evoluzione dei controlli di...
39
I sistemi di controllo interno negli intermediari finanziari: riflessioni e prospettive Marco Di Antonio Università di Genova Workshop “Evoluzione dei controlli di vigilanza, sistema dei controlli interni e implicazioni gestionali per le banche”, Vicenza, 18 settembre 2009
Transcript of I sistemi di controllo interno negli intermediari ... · Workshop “Evoluzione dei controlli di...
I sistemi di controllo interno
negli intermediari finanziari:
riflessioni e prospettive
Marco Di Antonio
Università di Genova
Workshop “Evoluzione dei controlli di vigilanza,
sistema dei controlli interni e implicazioni gestionali
per le banche”,
Vicenza, 18 settembre 2009
UN MODELLO DI RIFERIMENTO: IL CICLO
DI VITA DEI SISTEMI GESTIONALI
efficacia
tempo
INTRODU
ZIONE
-Determinanti
- Definizione
- Principi
di fondo
-Architettura e
contenuti
MATURITA’
-Crisi dei
mercati
-Elementi di
criticità
SVILUPPO
-Normativa
successiva
UN MODELLO DI RIFERIMENTO: IL CICLO DI VITA
DEI SISTEMI GESTIONALI
efficacia
tempo
INTRODU
ZIONE
-Determinanti
- Definizione
- Principi
di fondo
-Architettura
e contenuti
DETERMINANTI: strutturali
• Per natura, e da sempre, la banca è esposta in modo particolare al rischio (alto leverage, mismatching, concessione del credito, passività fiduciarie…); d’altronde, la gestione dei rischi è il business della banca; la banca “assume su di sé” i rischi dell’economia
• La rilevanza degli interessi pubblici coinvolti richiede un controllo da parte dei pubblici poteri sui livelli di rischio delle banche, a difesa della stabilità loro e dell’intero sistema finanziario ed economico
DETERMINANTI: congiunturali
• Crescente rilevanza dei rischi: aumento di competitività, internazionalizzazione e integrazione del sistema bancario (effetti sistemici)
• Nuovi approcci di vigilanza (vigilanza prudenziale, organizzativa, better regulation, principle based regulation)
• Pressioni verso il miglioramento dei risultati (ottimizzazione della combinazione redditività/rischi)
• Sviluppo delle logiche e degli strumenti di risk management
L’importanza dei controlli interni“Vari casi recenti dimostrano come l’inadeguatezza dei controlli
interni possa tradursi in notevoli perdite per le banche. Le
disfunzioni dei controlli interni...possono essere ricomprese in
cinque categorie:
- Insufficiente sorveglianza e responsabilità a livello degli organi
direttivi e mancanza di una solida cultura dei controlli all’interno
della banca...
- Inadeguata individuazione e valutazione del rischio insito in
determinate operazioni bancarie, sia in bilancio che fuori bilancio
- Assenza o disfunzione delle strutture e delle attività di controllo
basilari, come la separazione delle funzioni, le approvazioni, le
verifiche, i riscontri e l’esame dei risultati operativi
- Inadeguato flusso di informazioni tra i vari livelli direttivi all’interno
della banca, specie nella segnalazione verso l’alto di problemi
- Inadeguatezza e inefficacia del processo di revisione e delle attività
di monitoraggio”
Comitato di Basilea, Schemi per i sistemi di controllo interno nelle
organizzazioni bancarie, settembre 1998
L’importanza dei controlli interni (2)“La competitività della banca, la sua stabilità di medio e lungo
periodo, la possibilità stessa che venga garantita una gestione
sana e prudente, richiedono che essa si doti di adeguati strumenti
di rilevazione, misurazione e controllo, individuando tutte le fonti
di rischio e le possibili correlazioni fra esse.
Gli strumenti di vigilanza prudenziale, quali i coefficienti patrimoniali,
nell’imporre una dotazione di capitale minima per fronteggiare i
rischi, propongono modelli di misurazione semplificati, non
sufficienti da soli ad assicurare uno sviluppo equilibrato
dell’impresa.
Le autorità di vigilanza avvertono, quindi, l’esigenza di affiancare agli
strumenti prudenziali di tipo quantitativo indicazioni volte a
favorire, nel rispetto del’autonomia imprenditoriale, la definizione
nelle banche di un sistema di controlli interni efficiente ed
efficace”
Banca d’Italia, 145° Aggiornamento del 9 ottobre 1998 alla circolare
n. 4 del 29-3-1988. Sistema dei controlli interni, compiti del
collegio sindacale.
I 2 FONDAMENTALI STRUMENTI DI
PROTEZIONE DAI RISCHI
Complementarità/
alternatività Raccordo/collegamento:
secondo pilastro
PATRIMONIO
SCI
DEFINIZIONE (Comitato di Basilea per la
Vigilanza Bancaria)
Il controllo interno è un processo posto in essere dal consiglio di amministrazione, dall’alta direzione e da tutti i livelli del personale…
I principali obiettivi di un sistema di controllo interno possono essere classificati come segue:
1. efficienza ed efficacia delle attività (obiettivi di performance)
2. affidabilità, completezza e tempestività dei rendiconti finanziari e di gestione (obiettivi di informazione)
3. conformità con le leggi e le regolamentazioni applicabili (obiettivi di conformità)
DEFINIZIONE RISTRETTA DI SCI:
“Strumento attraverso il quale il management mira ad
acquisire ragionevole certezza dell’esistenza di
adeguate misure a tutela delle proprietà aziendali e
delle relative registrazioni contabili” (W.F. Messier jr.,
Auditing, Mc Graw Hill, 2000)
DEFINIZIONE ALLARGATA DI SCI:
“Un processo, svolto ai diversi livelli dell’organizzazione,
finalizzato a fornire una ragionevole sicurezza sul
conseguimento degli obiettivi di efficacia ed efficienza
delle attività operative; attendibilità delle informazioni
di bilancio; conformità alle leggi e ai regolamenti in
vigore” (CoSo, 1992)
Dai controlli al sistema di controlli
Copyright SDA Bocconi 2007
Controllo
Governo
DEFINIZIONE (Banca d’Italia)
Il sistema dei controlli interni è costituito dall’insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità:
- efficacia ed efficienza dei processi aziendali;
- salvaguardia del valore delle attività e protezione dalle perdite
- affidabilità integrità delle informazioni contabili e gestionali;
- conformità delle operazioni con la legge, la normativa di vigilanza nonchè con le politiche, i piani i regolamenti e le procedure interne
OBIETTIVO: la creazione di valore• Aiuta il management a governare meglio la
propria organizzazione • Guida l’impresa all’ottimizzazione della
combinazione redditività/rischio• Riduce i costi, le perdite e protegge il
patrimonio• Assicura il rispetto delle regole interne ed
esterne: ordine organizzativo e conformità alle leggi
• Identifica possibili miglioramenti della gestione
• Aumenta la conoscenza sull’impresa
Crea valore
PRINCIPI
- Approccio strategico
- Approccio olistico e integrato
- Approccio organizzativo
- Approccio economico
- Approccio proattivo
- Approccio per processi
PRINCIPI
Approccio strategico
•Responsabilità ultima e committment del vertice
•Esplicitazione degli obiettivi (risk appetite) e delle politiche di rischio
Approccio olistico e integrato
•Totalità dei rischi considerati
•Pervasività dei controlli
•Responsabilità diffusa / cultura del controllo
Approccio organizzativo
•Visione sistemica
•Introduzione di funzioni di controllo specializzate e separate
•Formalizzazione di compiti, responsabilità, procedure
PRINCIPI
Approccio economico
•Proporzionalità
•Analisi costi-benefici
Approccio proattivo
•Controlli ex ante (presidi organizzativi) oltre che ex post
(assicurazioni, dotazione patrimoniale)
• Cultura del controllo
Approccio per processi
•Strumenti di analisi organizzativa per processi (mappatura e valutazione dei rischi e dei
controlli)
GOVERNANCE INTEGRATA DEI RISCHI
AZIENDALI
- Modello comune per la gestione di ogni categoria di rischio: principi (es. coinvolgimento vertice, proporzionalità, separatezza delle funzioni di controllo), metodologie di valutazione/misurazione, predisposizione di patrimonio adeguato, esistenza di presidi organizzativi, 3 livelli di controllo, reportistica e flussi informativi …
– Chiara ripartizione dei compiti, collaborazione e coordinamento tra i diversi organi
– Unicità di governo (terzo livello, organo di controllo)
ARCHITETTURA E COMPONENTI SCI
(Basilea, 1998)• Obiettivi
• Sorveglianza da parte degli organi direttivi e
cultura dei controlli
• Individuazione e valutazione del rischio
• Attività di controllo e separazione delle
funzioni
• Informazione e comunicazione
• Attività di monitoraggio e correzione delle
carenze
ARCHITETTURA E COMPONENTI SCI (CoSo, 1992; Internal control. Integrated
framework)
• Ambiente interno
• Definizione degli obiettivi
• Identificazione delle determinanti e degli eventi di rischio
• Risk assessment
• Risposta al rischio
• Attività di controllo
• Informazioni e comunicazioni
• Monitoraggio
ARCHITETTURA E COMPONENTI SCI
(visione gestionale)
• Obiettivi
• Principi generali di funzionamento
• Strategie e politiche
• Struttura (funzioni, ruoli, responsabilità)
• Livelli di controllo
• Metodologie e strumenti (di misurazione, gestione…)
• Flussi informativi
• Monitoraggio e Reportistica
• Cultura
I 3 LIVELLI DI CONTROLLODI LINEA:• “diretti ad assicurare il corretto svolgimento delle operazioni.
Essi sono effettuati dalle stesse strutture produttive (ad es., i controlli di tipo gerarchico) o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di back-office”
SULLA GESTIONE DEI RISCHI:• “Hanno l’obiettivo di concorrere alla definizione delle
metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive”.
ATTIVITA’ DI REVISIONE INTERNA:• “Volta a individuare andamenti anomali, violazioni delle
procedure e della regolamentazione nonchè a valutare al funzionalità del complessivo SCI. Essa è condotta nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco”
UN MODELLO DI RIFERIMENTO: IL CICLO DI VITA
DEI SISTEMI GESTIONALI
efficacia
tempo
SVILUPPO
-Normativa
successiva
e impatti
sul SCI
NORMATIVA SUCCESSIVA
• Governo societario
• Normativa di vigilanza prudenziale (Secondo Pilastro)
• Compliance
• Mifid
• Responsabilità amministrativa delle banche
• Tutela del risparmio
• Antiriciclaggio
• Trasparenza
• Sistemi incentivanti
• ………………………
…E CONSEGUENTE PLURALITA’ DI
ORGANI DI CONTROLLO
• Dirigente preposto al bilancio
• Responsabile antiriciclaggio
• Responsabile della privacy
• Compliance officer
• Risk manager
• Controller
• Internal auditor
• Organismo di controllo e vigilanza ex 231/201
• Organo di controllo societario (collegio sindacale, consiglio di sorveglianza, comitato per il controllo della gestione)
EFFETTI
• Modifiche nel SCI (ruolo degli organi di vertice, funzioni di controllo, loro compiti e relazioni, strumenti di controllo, reportistica…)
• Rischio di stratificazione di diversi contenuti normativi, di ambiguità/sovrapposizione nei compiti, di perdita di coerenza del disegno complessivo
Un esempio: l’Organo di controllo
• “L’organo di controllo ha la responsabilità di vigilare sulla funzionalità del complessivo sistema dei controlli interni. Considerata la pluralità di funzioni e strutture aziendali aventi compiti e responsabilità di controllo, tale organo è tenuto ad accertare l’efficacia di tutte le strutture e funzioni coinvolte nel sistema dei controlli e
l’adeguato coordinamento delle medesime,promuovendo gli interventi correttivi delle
carenze e delle irregolarità rilevate.• L’organo di controllo si avvale delle strutture e delle
funzioni di controllo interne all’azienda per lo svolgimento delle verifiche e degli accertamenti
necessari e riceve da questi adeguati flussi informativi periodici o relativi a specifiche situazioni o andamenti aziendali…L’organo di controllo vigila sull’adeguatezza
del sistema di gestione e controllo dei rischi.”
Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, § 2.2.
EFFETTI: revisione del SCI“Per completare il quadro normativo sull’internal governance
delle banche è ora necessario procedere a un riassetto delle vigenti istruzioni di vigilanza in materia di controlli interni per ricondurre ad unità e coordinare i diversi interventi che hanno interessato nel tempo la materia…
Per quanto riguarda i contenuti, ritengo che i temi centrali sui quali è necessario riflettere siano: l’unitarietà e l’organicità del sistema dei controlli; il dialogo tra le diverse funzioni preposte; la valorizzazione di tutti gli obiettivi del controllo; la necessità di aggiornare nel continuo le modalità di misurazione e valutazione di tutti i rischi cui l’intermediario sia esposto o intenda esporsi.
L’attuale frammentazione della disciplina in materia di controlli, sia del settore finanziario che delle società in generale ha fatto emergere preoccupazioni, soprattutto da parte degli operatori, circa il rischio di sovrapposizioni di competenze e duplicazioni di funzioni”.
A.M.Tarantola, Intervento al Convegno Dexia-Crediop del 6-6-2008, Roma
UN MODELLO DI RIFERIMENTO: IL CICLO DI VITA
DEI SISTEMI GESTIONALI
efficacia
tempo
MATURITA’
(e declino ?)
-Crisi dei
mercati:
lesson
learned
-Elementi di
criticità dei SCI
LA CRISI – LESSON LEARNED: punti di
debolezza del SCI
- Controllo sulle nuove attività (prodotti, mercati)
- Controlli sui prodotti complessi (e opachi)
- Controllo sui sistemi incentivanti
- Controllo dei rischi di credito e di liquidità
- Controllo dei rischi indiretti e di reputation
- Controllo dei rischi associati ai comportamenti dei partner
- Analisi di scenario
- Analisi delle informazioni
- Fiducia eccessiva negli strumenti di misurazione quantitativa e nei presidi patrimoniali
- Controllo sul “modello di business”, sulla formulazione della strategia, sul livello di rischio presente nella combinazione rendimento/rischio prescelta
Analisi delle informazioni
“Spesso le divisioni che hanno in seguito subito perdite cospicue avevano dapprima segnalato profitti – di gran lunga superiori a quelli attesi in base all’apparente livello di rischio – che avrebbero dovuto attirare l’attenzione dell’alta direzione. Se fossero state effettuate accurate verifiche ai massimi livelli, l’alta direzione avrebbe potuto indagare sui risultati anomali, individuare alcuni problemi e porvi rimedio, limitando o evitando in tal modo le perdite di fatto subite. Invece, poiché gli scostamenti rispetto alle aspettative erano di segno positivo (equivalente a profitti), non sono stati posti quesiti né è stata avviata alcuna indagine finché i problemi non hanno raggiunto proporzioni incontrollabili”
Comitato di Basilea per la Vigilanza Bancaria, Schema per i sistemi di controllo interno nelle organizzazioni bancarie, settembre 1998, p. 32
Fiducia eccessiva negli strumenti di misurazione
quantitativa e nei presidi patrimoniali
“La situazione di crisi, di cui non è ancora certo il pieno superamento, richiama l’attenzione di banche, operatori e mercato sul fatto che modelli di calcolo del rischio evoluti e sofisticati non sono da soli sufficienti a scongiurare perdite; ad essi si devono affiancare assetti di governo e sistemi di controllo in grado di avvalersene in modo critico, ove necessario anche discostandosene”
A.M.Tarantola, Intervento al Convegno Dexia-Crediop del 6-6-2008, Roma
CRITICITA’ “TECNICHE”
• Difficoltà a valutare alcune categorie di rischio (strategico, di reputation, di compliance, di liquidità)
• Disomogeneità dei rischi (natura, effetti, tecniche di misurazione) e conseguente difficoltà di una gestione integrata
• Difficoltà a cogliere le interrelazioni tra rischi
• Difficoltà di definizione dei confini tra rischi (sovrapposizioni tra rischi, duplicazioni di misurazione)
• Difficoltà di ottimizzazione economica (analisi costi/benefici e individuazione del punto di equilibrio ottimale)
• Variabilità del trade off redditività-rischio
UNA VISIONE INTEGRATA: impact vs.
probability
Control
Share Mitigate & Control
Accept
High Risk
Medium Risk
Medium Risk
Low Risk
Low
High
High
IMPACT
PROBABILITY
LA GESTIONE DEL TRADE OFF
Rendimento
Rischio
Rendimento
Rischio
Saggio di scambio
rendimento/rischio
= 1
Saggio di scambio
rendimento/rischio
> > 1
Rischio come vincolo (es. rischio
di compliance, di reputation)
Rischio come parametro di
ottimizzazione (es. rischio di
mercato)
CRITICITA’ “ORGANIZZATIVE”
• Difficoltà a disegnare i confini organizzativi tra
funzioni e a distribuirne i compiti, ottimizzandoli
• Sostenibilità delle responsabilità affidate agli
organi di vertice (tempi e competenze richieste)
• Ruolo della funzione auditing e articolazione dei
livelli di controllo
• Difficoltà a misurare la performance del sistema
L’internal auditing
• Commistione di ruoli molto diversi, quello di “controllo a norma” e quello di “controllo dei controlli” (metacontrollo)
• Necessità di competenze ampie, diversificate, profonde (nel caso del metacontrollo)
L’architettura dei controlli
•
Controlli di
primo livello
Risk
Mngm
P&C
FC
Ispettorato
Controlli di
secondo livello
Organo di controllo societario / IAControlli di
terzo livello
LA CRISI - LESSON LEARNED: politiche di
vigilanza
• Troppi principi e poche regole ? Eccessiva self
regulation ? (Per contro: difficoltà a utilizzare
approcci prescrittivi in tale materia)
• Elevato rischio di “elusione” delle regole e di
formalismo nel rispetto delle stesse
• Importanza dell’etica nei comportamenti
• Centralità dei sistemi di incentivo/sanzione che
influenzano i comportamenti
ETICA & BUSINESS
“Per consolidare i valori etici, un’organizzazione bancaria
deve evitare politiche e pratiche che possano
involontariamente creare incentivi o tentazioni a
compiere attività inappropriate.
Esempi di simili politiche e pratiche sono: un’eccessiva
enfasi posta su obiettivi di performance o altri risultati
operativi, specie a breve termine; un trattamento
retributivo fortemente correlato alla performance;
l’inadeguatezza della separazione delle funzioni o di altri
controlli, che potrebbe indurre a fare cattivo uso delle
risorse o a dissimulare risultati insoddisfacenti; sanzioni
insignificanti o eccessivamente pesanti per
comportamenti scorretti”
“Schema per la valutazione dei sistemi di controllo
interno”, Comitato di Basilea, gennaio 1998
UNA VISIONE INTEGRATA: risk vs cost
Accept/Ignore
Mitigate immediately Mitigate efficiently
Mitigate selectively
High Priority
Low priority
High Priority
Medium Priority
Low
High
High
RISK
COST TO MITIGATE
