L’attività di Internal Audit nella nuova configurazione organizzativa

Massimo Bozeglav

Responsabile Direzione Internal Audit

Banca Popolare di Vicenza

p | 2

Indice

1. I fattori di cambiamento

2. L’architettura del Sistema dei Controlli Interni

3. Interrelazioni dell’I.A. con gli Organi / Funzioni di Controllo

4. Conclusioni

p | 3

I fattori di cambiamento

Nel corso del tempo, ed in particolare a partire dagli anni 90 la funzione di Internal Audit è stata oggetto di profondi cambiamenti derivanti da mutazioni dei contesti organizzativi di riferimento ovvero da evoluzioni imposte dalle normative di Vigilanza.

Con riferimento al primo aspetto, nel corso del tempo la Funzione di Internal Audit si è evoluta passando da un ambito spesso limitato a verifiche di conformità contabile e finanziaria (assurance sul funzionamento) ad obiettivi di più ampio respiro di “assurance sul disegno e funzionamento” e “supporto consulenziale sul disegno”.

Ultima versione degli standard professionali per la pratica professionale dell’Internal Audit:“attività indipendente ed obiettiva di assurance e consulenza finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione”

Istruzioni di Vigilanza della Banca d’Italia: attività “volta ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione nonché valutare la funzionalità complessiva del sistema dei controlli interni” L’attività “è svolta da strutture diverse ed indipendenti da quelle produttive, anche attraverso verifiche in loco”

p | 4

I fattori di cambiamento

Ulteriore impulso al cambiamento è derivato dalle evoluzioni introdotte dagli Organi di Vigilanza con particolare riferimento all’introduzione di nuovi attori sui processi di controllo aziendali:

Funzione di Risk Management

Funzione di Compliance

Dirigente Preposto

Tali fattori hanno portato ad una profonda revisione dell’architettura del Sistema dei Controlli Interni e dei meccanismi di interrelazione tra la funzione di Internal Audit e gli altri attori coinvolti nei processi di controllo.

p | 5

Indice

1. I fattori di cambiamento

2. L’architettura del Sistema dei Controlli Interni

3. Interrelazioni dell’I.A. con gli Organi / Funzioni di Controllo

4. Conclusioni

p | 6

Il Sistema dei Controlli Interni

Il Sistema dei Controlli Interni può definirsi come l’insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei rischi, il conseguimento delle seguenti finalità:

Efficacia ed efficienza dei processi aziendali

Salvaguardia del valore delle attività e protezione delle perdite

Affidabilità ed integrità delle informazioni contabili e gestionali

Conformità delle operazioni con la legge, la normativa di vigilanza, nonché con le politiche, i piani, i regolamenti e le procedure interne.

p | 7

Schema del Sistema dei Controlli Interni

CONTROLLI DI

PRIMO LIVELLOCONTROLLI DI SECONDO LIVELLO

CONTROLLI DI

TERZO LIVELLO

CONTROLLI DI LINEA

Consistono nelle

verifiche svolte sia da chi

mette in atto una

determinata attività, sia

da chi ne ha la

responsabilità di

supervisione,

generalmente nell’ambito

della stessa unità

organizzativa o funzione

GESTIONE DEI

RISCHI

E’volta a individuare,

misurare, controllare

e gestire tutti i rischi

legati alle attività, ai

processi e ai sistemi

dell’impresa in

conformità con le

strategie e il profilo di

rischio definiti dall’alta

dirigenza

CONTROLLI DI

CONFORMITA’

Sono volti a verificare

l’osservanza del

rispetto degli obblighi di

etero ed auto-

regolamentazione (ivi

compresi quelli nella

prestazione dei servizi

di investimento)

CONTROLLO INTERNO

L’attività di audit interno

è volta a valutare, in una

prospettiva di terzo

livello, la completezza, la

funzionalità e

l’adeguatezza dei sistemi

e delle procedure, anche

di controllo.

FUNZIONE

INTERNAL AUDIT

FUNZIONE

INTERNAL AUDITFUNZIONI

DI RISK MANAGEMENT / COMPLIANCE / DIRIGENTE PREPOSTO

FUNZIONI

DI RISK MANAGEMENT / COMPLIANCE / DIRIGENTE PREPOSTOFUNZIONE

DI LINEA

FUNZIONE

DI LINEA

CONTROLLI DEL DIRIGENTE PREPOSTO

Sono volti ad attestare/dichiarare

l’informativa contabile societaria secondo

quanto previsto dalla Legge

p | 8

Schema del Sistema dei Controlli Interni

controlli di primo livello: diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (ad esempio, i controlli di tipo gerarchico) o incorporati nelle procedure e nei sistemi informatici, ovvero eseguiti nell'ambito dell'attività di back-office;

controlli di secondo livello: affidati a strutture diverse da quelle produttive, che hanno l'obiettivo di:

- concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio rendimento assegnati (Risk Management);- concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne l’adozione (Compliance);- attestare/dichiarare l’informativa contabile societaria secondo quanto previsto dalla legge (Dirigente Preposto).

attività di revisione interna (terzo livello): volta a individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Essa è condotta nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco

p | 9

Processo di controllo interno e strutture coinvolte

Flussi Informativi

Strutture Operative

Organi con Funzioni

di Controllo

Sistema Poteri

Delegati

Corpo Normativo

Interno

Comitati

Sistemi Informativi

SISTEMA DEI CONTROLLI INTERNI

Verifica

Indirizzo

Controllo

Aggiornamento

Consiglio di

Ammnistrazione

Flussi Informativi

Strutture Operative

Organi con Funzioni

di Controllo

Sistema Poteri

Delegati

Corpo Normativo

Interno

Comitati

Sistemi Informativi

SISTEMA DEI CONTROLLI INTERNI

Verifica

Indirizzo

Controllo

Aggiornamento

Consiglio di

Ammnistrazione

p | 10

Gli “Attori” del Sistema dei Controlli Interni

Organi di Controllo e

Vigilanza

Consiglio di Amministrazione e Collegio Sindacale

Comitato per il Controllo

Organismo di Vigilanza 231/01

Funzione di Controllo di

Terzo Livello Internal Audit

Funzioni di Controllo di

Secondo Livello

Risk Management

Compliance

Strutture di supporto al Dirigente Preposto

Altre funzioni di controllo di 2° livello (es. sicurezza)

Funzioni di Controllo di

Primo Livello

Process Owner: Rete Filiali, Crediti, Organizzazione,

Back Office, ecc.

p | 11

Profili di controllo del Gruppo Banca Popolare di Vicenza

CdA

Alta

DirezioneCollegio Sindacale

Internal

AuditRisk Management Compliance

Strutture

Banca /

Gruppo

Indirizzo, Direzione,

VerificaX X

Controllo Legale X X

Gestione Rischi

Credito X

Mercato X

Operativo X X

Non Conformità X

Reputazionale X

ICAAP (1) (1) X

Revisione Interna

Adeguatezza

SCIX X

Controlli di primo

livelloX

(1) L’I.A. supporta il Collegio Sindacale nella verifica del sistema di gestione e controllo dei rischi definiti nell’ICAAP.

p | 12

Indice

1. I fattori di cambiamento

2. L’architettura del Sistema dei Controlli Interni

3. Interrelazioni dell’I.A. con gli Organi / Funzioni di Controllo

4. Conclusioni

p | 13

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Mission / Responsabilità degli

Organi di controllo e vigilanzaInterrelazioni/ responsabilità I.A.

Consiglio di Amministrazione

Fissare le linee di indirizzo del SCI

nonché limiti e deleghe operative

da assegnare agli organi delegati

all’Alta Direzione

Comitato per il Controllo

Verificare la funzionalità del SCI

assistendo il Consiglio di Amministra-

zione nell’espletamento dei suoi

Compiti in materia di controllo

interno e governo dei rischi

Garantisce opportuni flussi informativi allo

scopo di porre tali Organi nella condizione di

verificare la funzionalità,l’efficacia e l’efficienza

del SCI in coerenza con la propensione al

Rischio prescelta

p | 14

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Mission / Responsabilità degli

Organi di controllo e vigilanzaInterrelazioni/ responsabilità I.A.

Collegio Sindacale

Verificare il regolare funzionamento

complessivo di ciascuna principale

area organizzativa; in particolare

svolge i compiti di controllo che la

legge gli affida, verificando la

correttezza delle procedure contabili.

Esso inoltre valuta il grado di

efficienza ed adeguatezza del

sistema dei controlli interni con

particolare riguardo al controllo dei

rischi, al funzionamento dell’Internal

Audit e al sistema informativo

contabile.

E’ la Funzione di supporto al Collegio

Sindacale ai fini della valutazione

dell’efficienza ed adegatezza del sistema di

controlli interni. A tal fine l’I.A. tiene

costantemente attivo nei confronti del

suddetto Organo un flusso informativo su

tutta l’attività svolta.

p | 15

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Mission / Responsabilità degli

Organi di controllo e vigilanzaInterrelazioni/ responsabilità I.A.

ODV ex D.Lgs 231/01

Ove istituito, è affidato il compito di

vigilare sul funzionamento e

l’osservanza del modello

organizzativo adottato dall’Ente allo

scopo di prevenire la commissione

dei reati previsti dal D.Lgs

231/01.sollecitandone

l’aggiornamento alla luce delle

evoluzioni normative ovvero la

scoperta di significative violazioni

delle prescrizioni nonché, infine,

quando intervengono mutamenti

nell’organizzazione dell’Ente.

Garantire un adeguato flusso informativo sulle

risultanze emerse dalla propria attività di

auditing al fine di consentire all’ODV di

verificare l’efficacia e l’efficienza del modello

organizzativo adottato ed il rispetto delle

modalità e delle procedure previste dal

modello organizzativo stesso.

p | 16

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Funzioni di controllo di secondo

livelloInterrelazioni/ responsabilità I.A.

Funzione di Compliance

Ha la responsabilità di prevenire e

gestire il rischio di non conformità

alle norme

Risk Management

Assicurare l’attività di misurazione e

controllo dei rischi (di credito, di

mercato, di liquidità, operativo, di

controparte, di tasso)

Dirigente Preposto (limitatamente ai

processi di controllo)

Valutare l’adeguatezza e funzionalità

dei controlli sui processi amministra-

tivo-contabili

Assurance: Garantisce un’azione di verifica

sulle funzioni di controllo di secondo livello ai

fini della valutazione sul disegno e sul

funzionamento del complessivo SCI.

Supporto: garantire alle funzioni di controllo di

secondo livello i flussi informativi rivenienti

dall’attività di revisione interna che risultano

necessari alle stesse nell’espletamento dei

propri compiti di “gestione dei rischi”.

p | 17

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Funzioni di controllo di secondo

livelloInterrelazioni/ responsabilità I.A.

PUNTI DI ATTENZIONE (perché gli SLA di servizio)

Al fine di garantire l’imparzialità di giudizio nelle proprie attività di Revisione Interna,

il supporto dell’Internal Audit deve consistere esclusivamente nel porre a disposizione

i dati informativi di interesse della Funzione richiedente, fornire delucidazioni in merito

alle metodologie di valutazione dei rischi e dei controlli, rendere consulenza riguardo al

tema dell’efficacia e funzionalità del SCI

Nei rapporti tra I.A. e Funzioni di controllo di secondo livello occorre definire con esattezza

il perimetro di verifica dell’una e delle altre Funzioni dal momento che su taluni ambiti

e materie (in particolare la Compliance) il confine non è ben definito e si generano

inevitabilmente rischi di sovrapposizione e duplicazione delle attività.

p | 18

Assetto Organizzativo Direzione I.A. nel Gruppo B.P.Vi

COMITATO PER IL CONTROLLO INTERNO

U.O. AUDITING FINANZA

U.O. AUDITING CREDITO E OPERATIVO

DIREZIONE INTERNAL AUDIT

UFFICIO SEGRETERIA

UFFICIO SVILUPPO E VALUTAZIONE SCI E AUDITING

ICT

U.O. VERIFICHE A DISTANZADI GRUPPO

U.O. ANTIRICICLAGGIO

U.O. AUDITING GOVERNO E SUPPORTO

U.O. ISPETTORATORETE BPVI

CONSIGLIERE DELEGATO

CONSIGLIO DI AMMINISTRAZIONE

PRESIDENTE

DIRETTORE GENERALE

Responsabili Revisione Interna delegati per le società Controllate (gerarchicamente e

funzionalmente dipendenti dal Responsabile della Direzione Internal Audit della Capogruppo)

Resp. Revisione Interna BPVI Fondi SgrResp. Revizione Interna NEM Resp Revisione Interna Nem Due SgrResp. Revisione Interna PrestinuovaResp. Revisione Interna FarbancaResp. Revisione Interna Banca NuovaResp. Revisione Interna CariPrato

COORDINAMENTO SERVIZI ISPETTIVI

O.D.V. ex art. 6 D.Lgs 231/2001

COORDINAMENTO SERVIZI AUDITING DI GRUPPO

U.O. ISPETTORATO RETEBANCA NUOVA(Gabriele A.)

U.O. ISPETTORATO RETECARIPRATO(Impalmi A.)

p | 19

Esempi di flussi informativi per le Funzioni di Controllo di 3° Liv.

38,00%

53,00%

9,00%

42,47%

52,05%

5,48%

20,00%

60,00%

20,00%

42,86%

42,86%

14,29%

0%

20%

40%

60%

80%

100%

GRUPPO Banca 1 Banca 2 Banca 3

Processo ……… - I semestre 2009

Molto Alto Alto Basso Contenuto

Gruppo Banca Popolare di Vicenza

24,00%

6,00%

31,00%

36,00%

37,00%

27,27%

11,11%

56,70%

41,00%

22,50%

20,20%

53,00%

36,00%

59,00%

57,00%

55,00%

60,61%

61,05%

62,63%

35,05%

48,00%

51,25%

75,76%

21,00%

58,00%

10,00%

7,00%

7,00%

11,11%

36,84%

26,26%

6,19%

7,00%

26,25%

4,00%

2,06%

1,01%

1,00%

2,00%

2,11%

4,04%

0% 20% 40% 60% 80% 100%

Fase ………..

Fase ……….

Fase ……….

p | 20

Interrelazioni dell’I.A. con gli Organi/Funzioni di controllo

Funzioni di controllo di

Primo LivelloInterrelazioni/ responsabilità I.A.

Strutture produttive

Hanno la responsabilità dei Controlli

volti ad assicurare il corretto

svolgimento delle operazioni

Assurance: Garantisce un’azione di verifica

sulle strutture produttive al fine di verificare la

corretta esecuzione dei controlli di linea.

Supporto: garantire supporto e consulenza

alle diverse funzioni aziendali con riferimento

alle iniziative che incidono, direttamente o

indirettamente, sulla funzionalità complessiva

del sistema dei controlli interni.

p | 21

Indice

1. I fattori di cambiamento

2. L’architettura del Sistema dei Controlli Interni

3. Interrelazioni dell’I.A. con gli Organi / Funzioni di Controllo

4. Conclusioni

p | 22

Conclusioni

Le recenti vicende di alcuni grandi gruppi bancari hanno risvegliato la “querelle”

sull’esigenza non solo di una maggiore efficacia dell’apparato legislativo e di vigilanza,

ma anche di una maggiore efficienza dei soggetti e delle Funzioni aziendali preposte

al controllo.

In un sistema caratterizzato per un certa “ipertofia” degli Organi e Funzioni di controllo

“efficienza” vuol dire non solo “qualità e professionalità” ma anche “coordinamento tra i

Soggetti del controllo”.

In questo scenario, il ruolo dell’Internal Audit va assumendo sempre maggiore centralità.

E’ all’Internal Audit che è affidato il compito di misurare la qualità dei controlli aziendali

ed individuare opportune misure di miglioramento delle attività svolte dai diversi Organi

e Funzioni Aziendali.

In tale ottica, l’obiettivo dell’Internal Audit deve essere quello di sviluppare metodologie e

Processi interni tali da consetirgli di utilizzare gli audit come strumento per il

raggiungimento dell’obiettivo primario della funzione: fornire ai Vertici Aziendali

un quadro sullo stato di salute complessivo del Sistema dei Controlli Interni.