Il sistema dei controlli interni - cetif.it svolgimento delle operazioni (controlli di tipo...

Il sistema dei controlli interni: considerazioni sulla evoluzione del ruolo e responsabilità della funzione di internal audit nelle banche

CETIF Milan, 10th of April 2014

Ranieri de Marchis – CAE Unicredit Spa

2

AGENDA

1. Evoluzione del ruolo dell'Internal Audit e del Sistema dei Controlli Interni (SCI)

2. Quadro regolamentare: principali riferimenti alla Funzione

di Internal Audit

3. Le novità delle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013

4. La valutazione del Sistema dei Controlli Interni: da un approccio a silo ad un approccio integrato

5. Il contributo dell'associazione AIIA nel rafforzare la valutazione dello SCI

3

Osserva e valuta problemi aziendali di natura contabile e finanziaria

In staff alla Direzione Amministrativa

1. Evoluzione del ruolo dell'Internal Audit e del Sistema dei Controlli Interni (SCI)

Ispettorato "classico"

Supporto alla Società di Revisione

Compiti e responsabilità definiti da Alta Direzione Riferisce a CdA, CS, Alta Direzione

Approccio "reattivo"

3* linea di difesa

Effettua controlli su regolarità operatività e andamento dei rischi

Valuta la funzionalità del complessivo sistema dei controlli interni

1999 ante 1999 2000 e post 2013 e oltre

Esplica attività indipendente ed obiettiva di assurance e consulenza

Piano di audit risk-based

Portatore di valore aggiunto nella valutazione e miglioramento dei processi di controllo, di gestione dei rischi e di corporate governance

Riporto gerarchico al CdA - Comitato Controllo Interno e Rischi

Rafforzamento della valutazione olistica sul sistema di controllo interno

Controlla il regolare andamento dell'operatività e l'evoluzione dei rischi

Valuta la completezza, adeguatezza, funzionalità (in termini di efficienza ed efficacia) e l'affidabilità del Sistema dei Controlli Interni e del sistema informativo

Valutazione dell'efficacia del processo di definizione del RAF (Risk appetite Framework)

Funzione Indipendente

Riporta su miglioramenti alle politiche di gestione dei rischi, strumenti di misurazione e procedure

Agente proattivo del cambiamento

4 4

2. Quadro regolamentare: principali riferimenti alla Funzione di Internal Audit 1/4

Principi base (di "connotazione"; "prestazione") applicabili internazionalmente per lo sviluppo delle attività e per la valutazione dell’efficacia dell’attività di assurance e di consulenza

IIA / AIIA*– Standards per la pratica professionale dell'Internal Audit

Comitato per la Corporate Governance – Codice di Autodisciplina per le Società Quotate (2011)

Resp. IA in dipendenza gerarchica dal CdA che delibera su nomina, revoca, remunerazione

Il Comitato Controllo e Rischi monitora l’autonomia, l’adeguatezza, l’efficacia e l’efficienza di IA e ne esamina le relazioni e piano di audit

* Institute of Internal Auditors – Associazione Italiana Internal Auditors

Consob – Banca d'Italia Regolamento MiFID (2007); Comunicazione congiunta (2011)

Compiti IA su verifiche su prestazione dei servizi di investimento e confini con attività della f.ne Compliance (II livello) che può ingaggiare IA con accordi di servizio

EBA (European Banking Authority) – Guidelines on Internal Governance (2011)

IA valuta l'efficacia ed l'efficienza dell'internal control framework, incluse verifiche su F.ne Rischi e Conformità

BCBS (Basel Committee on Banking Supervision) – The internal audit function in banks (2012)

Ambito dell'attività IA ampliato (su temi di rischio e risk reporting)

Scambio di informazioni ("two-way") diretto, periodico e costruttivo con AAVV sui rischi e risposte management

FSB (Financial Stability Board) – Thematic review on Risk Governance (2013)

IA effettua una valutazione indipendente del risk governance framework

2. Quadro regolamentare: framework organizzativo tradizionale 2/4

5

1°

2°

CDA

Controlli di linea

Rev. Interna

Compliance Risk Management

3°

Controlli periodici sui rischi e sulla conformità:

• assicurare la corretta attuazione del processo di gestione dei rischi

• rispetto dei limiti operativi

• conformità dell'operatività aziendale alle norme

Controlli continui di linea: diretti ad assicurare il corretto svolgimento delle operazioni (controlli di tipo gerarchico, sistematici e a campione)

Revisione Interna:

• individuare violazioni delle procedure e regolamentazione

• valutare completezza, adeguatezza, funzionalità e affidabilità del Sistema dei Controlli Interni e del sistema informativo

Varie funzioni svolgono controlli di carattere continuo e periodico

3 Linee di difesa

6

2. Quadro regolamentare: diversi contributori e diversi stakeholders 3/4

Assurance indipendente sull'idoneità del Sistema di Controlli Interni Internal Audit (3° livello)

Assurance sulle tipologie di rischio presidiate per competenza Funzioni di Controllo (2°livello)

Attestazione sulla conformità del Bilancio di esercizio Società di Revisione esterna

Attestazione sulla tenuta del Modello di organizzazione e gestione ai sensi del D.lgs. 231/2001

Organismo di Vigilanza 231

Self-assessment manageriale dei sistemi e presidi di controllo che insistono sulle proprie attività/business

Management (1° livello)

Istituzione e mantenimento di un efficace Sistema dei Controlli da parte dell'Amministratore Delegato

Valutazione del Sistema dei Controlli da parte del Consiglio di Amministrazione e del Comitato Controllo e Rischi

Collegio Sindacale Vigilanza

Efficacia ed efficienza fondamentali nella valutazione dello SCI

7

Self – Assessment del Management

Relazioni annuali: Rating interno Rischi di mercato Rischio di controparte Rischi operativi Rischio di liquidità ICAAP Attività in outsourcing *

Valutazione complessiva del sistema di controllo interno

(Valutazione Professionale)

La reliance è fondata sull'assessment delle funzioni di compliance e risk management

2. Quadro regolamentare: le fonti informative dell'Internal Audit 4/4

Assurance rilasciata da terze parti: Autorità di

Vigilanza Società di

revisione

Report di Audit

Report della funzione di Risk Management

Report della funzione di Compliance

Audit tracking

Relazione periodica dell'Internal Audit sulle attività svolte

* Con decorrenza dal 2014

Attività di revisione e consulenza

8

Le disposizioni introducono novità di rilievo al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale ed affidabile.

Impatti rilevanti della normativa sugli organi di governo e controllo

3. Le novità derivanti dalle nuove disposizioni di vigilanza prudenziale per le banche – Circolare 263/2013 1/5

L'organo di supervisione strategica ha il compito di favorire la diffusione di una cultura dei controlli attraverso l'approvazione di un codice etico al quale sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. L'organo di supervisione strategica approva uno specifico

documento in cui sono precisati compiti, responsabilità e modalità di coordinamento/collaborazione tra le varie funzioni di controllo coinvolte.

L'organo con funzioni di gestione è chiamato ad avere un'approfondita comprensione di tutti i rischi aziendali e nell'ambito della gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno (incluso il rischio macroeconomico).

9

1 Ruolo sempre più centrale nel Sistema dei Controlli Interni

Impatti rilevanti per la Funzione Internal AUDIT


"Valuta la completezza, l'adeguatezza, la funzionalità, l'affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, del processo di gestione dei rischi e degli altri processi aziendali, avendo riguardo anche alla capacità di individuare errori ed irregolarità"

2 Attività rivolta non solo alla verifica del processo di gestione dei

rischi ma anche del processo di definizione delle politiche di governo dei rischi

"Valuta l'efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell'operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali"

10

3 Crescente interazione funzionale con le altre componenti di controllo dell’impresa



"Le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l'operatività aziendale" "I responsabili della funzione di controllo dei rischi e della funzione di conformità informano il responsabile della funzione di revisione interna delle criticità rilevate nelle proprie attività di controllo che possano essere di interesse per l'attività di audit" "Il responsabile della revisione interna informa i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarità emerse nel corso delle attività di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime"

11

Rafforzamento del reporting direzionale verso gli Organi Aziendali



" … Fermo restando che i destinatari delle comunicazioni delle attività di verifica sono gli organi aziendali e le unità sottoposte a controllo… potere per la funzione IA di comunicare in via diretta i risultati degli accertamenti e delle valutazioni agli organi aziendali. Gli esiti degli accertamenti conclusisi con giudizi negativi o che evidenzino carenze di rilievo sono trasmessi integralmente, tempestivamente e direttamente agli organi aziendali"

4

12

5



" …verifica l'adeguatezza, l'affidabilità complessiva e la sicurezza del sistema informativo (ICT audit)" " controlla regolarmente il piano aziendale di continuità operativa; prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, propone modifiche sulla base delle mancanze riscontrate; controlla i piani di continuità operativa dei fornitori di servizi e dei fornitori critici"

Rilevanza delle verifiche audit in relazione al sistema informativo ed al piano aziendale di continuità operativa

13 13

Un adeguato sistema dei controlli interni favorisce la diffusione di una corretta cultura dei rischi intesa come norme di comportamento che determinano una capacità

collettiva ad identificare, comprendere, discutere apertamente e a gestire i rischi correnti e futuri di un'organizzazione

basata su un solido ed articolato sistema di valori aziendali

promossa da un'effettiva governance dei rischi, da un effective risk appetite e da una corretta politica di remunerazione.

La funzione di Internal Audit interviene, quindi, nel valutare che le componenti della Risk Culture siano fatte proprie dall'organizzazione aziendale a tutti i livelli

4. La valutazione del Sistema dei Controlli Interni: Risk Control Culture 1/4

FSB (Guidance on Supervisory Interaction with Financial Institutions on Risk Culture ha emesso di recente (7 aprile 2014) delle linee guida sul tema, fornendo anche un set di indicatori

14 14

TONE FROM THE TOP – CdA e Senior Management sono il punto di partenza per definire i valori aziendali e la risk culture Governare attraverso l'esempio Valutare la control culture e i valori aziendali Assicurare una comprensione e consapevolezza comune dei rischi Imparare dalle esperienze precedenti

ACCOUNTABILITY – Attribuzione della titolarità dei rischi e azioni/comportamenti conseguenti Chiara definizione di responsabilità per la gestione dei rischi Definizione del processo di escalation Definizione del processo di sanzioni interne

EFFECTIVE COMMUNICATION and CHALLENGE – Una comunicazione efficace determina processi decisionali che includono visioni diverse, stimolando dialogo e critica costruttiva Apertura verso opinioni differenti Autorevolezza delle funzioni di controllo

INCENTIVES – Il sistema di remunerazione e performance interviene nel fissare comportamenti aziendali allineati al profilo di rischio Politiche di remunerazione e valutazione Politiche di successione dei ruoli di responsabilità e sviluppo dei "talenti aziendali"

2

3

4

1

4. La valutazione del Sistema dei Controlli Interni: Risk Control Culture 2/4

Indicatori Risk Culture – FSB 2014

4. La valutazione del Sistema dei Controlli Interni: da un approccio per silo….. 3/4

15

La valutazione degli organi di supervisione strategica si fonda su una complessa e variegata reportistica proveniente da diversi "silos" interni ed esterni.

Management Risk

Management Compliance External

auditors Internal Audit

• Assicurare il control self assessment ed il relativo testing

• Assicurare l'implementazione delle azioni correttive necessarie al superamento delle deficiencies individuate dalle funzioni di controllo

• Assicurare l'implementazione dell'approccio di risk management

• Set up del Risk Appetite framework

• Identificare gli emerging risks

• Predisporre il risk reporting dashboard

• Verificare l'adeguatezza della regolamentazione interna alla normativa di compliance

• Assicurare attività di consulenza e advice nel perimetro di compliance

• Assicurare l'assurance sulla conformità del bilancio

• Assicurare una attività indipendente ed obiettiva di assurance e consulenza finalizzata al miglioramento dell'efficacia e dell'efficienza dell'organizzazione

Favorire lo scambio di informazioni

4. La valutazione del Sistema dei Controlli Interni: …..a un approccio integrato 4/4

16

L'approccio integrato richiede:

La pianificazione concertata di valutazione dei rischi

La tassonomia comune dei rischi

Una metodologia condivisa di identificazione e classificazione dei rischi

La standardizzazione della reportistica

L'adozione di tale approccio beneficia l'organizzazione attraverso il superamento di: Inefficienze dovute a sovrapposizioni nelle attività

delle funzioni di controllo

Ridotta efficacia del reporting diretto al Board

Costi significativi per azioni correttive non omnicomprensive e per interventi non coordinati su attività di business

Domani: giungere ad un'unica valutazione

MANAGEMENT RISK MANAGEMENT/ COMPLIANCE

EXTERNAL AUDIT ED ESPERTI ESTERNI INTERNAL AUDIT

Integrated Assurance: • Struttura dati comune • Risk Approach condiviso (processi,

tassonomia , controlli e cause) • Tecnologia comune

Stakeholders

Board of Directors

17

5. Il contributo dell'Associazione Italiana Internal Auditors (AIIA) nel rafforzare la valutazione dello SCI 1/2

Il contributo degli ultimi anni

Risposta alla procedura di consultazione della Banca d’Italia “Sistema dei controlli interni, sistema informativo e continuità

operativa” ott 2012

Workshop “L’Internal Audit nel nuovo contesto regolamentare: opportunità e rischi” dic 2012

Workshop “Controlli di Secondo e Terzo livello…diverse responsabilità, un unico obiettivo” apr 2013

Workshop “Audit sul processo ICAAP” nov 2013

Position Paper e Workshop su “Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle

banche e nei gruppi bancari - Ruolo e Responsabilità della Funzione di Internal Audit”

gen 2014

mar 2014

Giornata di formazione "Le Nuove Disposizioni di Vigilanza: novità ed opportunità per l'Internal Audit"

gen 2014 Risposta alla procedura di consultazione della Banca d’Italia

“Disposizioni in materia di politiche e prassi di remunerazione e incentivazione nelle banche e nei gruppi bancari"

DO

NE

18

5. Il contributo dell'Associazione Italiana Internal Auditors (AIIA) nel rafforzare la valutazione dello SCI 2/2

Working Group: avviato Deliverable atteso: Workshop con l’obiettivo di condividere le

esperienze dei partecipanti al WG ed aprire un tavolo di confronto e discussione in sede associativa

Sistema dei controlli integrato

Risk control culture

TO D

O

201

4

Working Group: da avviare nella seconda metà dell'anno Deliverable atteso: identificare approcci e modalità di audit

utilizzabili nella valutazione della Risk Control Culture all'interno delle organizzazioni

Il sistema dei controlli interni - cetif.it svolgimento delle operazioni (controlli di tipo...

Documents

Transcript of Il sistema dei controlli interni - cetif.it svolgimento delle operazioni (controlli di tipo...