MASTER AML SCI 1x - airant.it · dei rischi, dall'altro a valutare la funzionalità del complessivo...

MASTER AMLP

1

MASTER AMLP

2

AGENDAAGENDA

REGOLE E BEST PRACTICE

ERM

SCI NELLA NORMATIVA DI VIGILANZA

DISEGNO DEL NUOVO SCI

VALUTAZIONE DEL SCI


3

Nuovo accordo sul capitale – Basilea 2

Paper Comitato di Basilea

Disposizioni di vigilanza prudenziale Circ. 263/07

Istruzioni di vigilanza

Disposizioni di vigilanza sulla funzione di conformità

Regolamento Congiunto Bankit-Consob

Disposizioni sull’organizzazione e sul governo societario

Comitato di Basilea, Schema per i sistemi di controllo interno nelle organizzazioni bancarie

Co SO Report, Committee of Sponsoring Organisations of the Treadway CommissionERM, Committee of Sponsoring Organisations of the Treadway Commission

4

Co So Report

ERM



5


6


7

RISCHIO


8


9

MASTER AMLP

10

AGENDAAGENDA


ERM



VALUTAZIONE DEL SCI

11

COMPONENTI DEL SCI

1. AMBIENTE DI CONTROLLO

2. VALUTAZIONE DEI RISCHI

3. ATTIVITA’ DI CONTROLLO

4. INFORMAZIONI E COMUNICAZIONE

5. MONITORAGGIO

Il controllo interno non è un procedimento sequenziale, bensì un processo ITERATIVO E MULTIDIREZIONALE in cui ogni componente puòinfluire su un altro, indipendentemente dalla sequenza del processo.

ERM

ERM

12

RAPPORTO FRA OBIETTIVI E COMPONENTI

• Il rapporto tra obiettivi e componenti viene raffigurato con una matrice tridimensionale;

• Il controllo interno si applica all’azienda nel suo complesso oppure a una qualunque delle sue unità o processi.

ERM

13

ERM

14

ERM

15

ERM – ENTERPRISE RISK MANAGEMENT

E’ un framework che è stato proposto nel 2004 dal Coso of the Tradeway commission allo scopo di guidare i manager per valutare e migliorare la gestione del rischio aziendale complessivamente intesa attraverso un modello integrato che intende comprendere tutti i rischi aziendali

ERM

16

E’ un processo posto in essere dal consiglio di amministrazione, dal management e da altri operatori della struttura, utilizzato per la formulazione della strategia nell’organizzazione, progettato per individuare eventi potenziali che possono influire sull’attività aziendale, per gestire il rischio entro i limiti di rischio accettabile e per fornire la ragionevole sicurezza sul conseguimento degli obiettivi aziendali

COS’E’ L’ERM

ERM

17

• E’ un processo interrelato con i sistemi di corporate governance

• Posto in essere ai vari livelli dell’organizzazione nella formulazione delle strategie e dei programmi aziendali

• DETERMINA CONSAPEVOLEZZA degli obiettivi che l’organizzazione intende raggiungere e degli ostacoli potenziali

• Permette di verificare l’allineamento fra il profilo di rischio che connota l’organizzazione e il risk appetite (propensione al rischio)

• Sviluppare piani di controllo dei rischi non accettabili

CARATTERISTICHE DELL’ERM

ERM

18

ERM

19

DEFINIZIONE DEGLI OBIETTIVI

IDENTIFICAZIONE EVENTI

VALUTAZIONE RISCHI

RISK RESPONSE

INFORMAZIONE & COMUNICAZIONE

MONITORING

ATTIVITA’ DI CONTROLLO

AMBIENTE INTERNO

COMPONENTI DELL’ERM

ERM

20

CONOSCERE I RISCHI

VALUTARE I RISCHI

GESTIRLI

MONITORAGGIO

REPORTINGASSEGNAZIONE

OBIETTIVI

RUOLO DEL MANAGEMENT

ERM

21

ERM

22

ERM

23

ERM

24

ERM

25

ERM

26

ERM

27

ERM

28

ERM

29

ERM

30

ERM

31

ERM

32

ERM

33

ERM

34

MASTER AMLP

35

AGENDAAGENDA


ERM



VALUTAZIONE DEL SCI

36

Al fine di fronteggiare i rischi a cui possono essere esposte, le banche si dotano di idonei dispositivi di governo societario e di adeguati meccanismi di gestione e controllo.

Circ. 263/07 Banca d’Italia


37

I presidi devono coprire ogni tipologia di rischio aziendale coerentemente con le caratteristiche, le dimensioni e la complessità delle attivitàsvolte dalla banca.



38

Le banche formalizzano le politiche per il governo dei rischi, procedono al loro riesame periodico al fine di assicurarne l’efficacia nel tempo e vigilano sul concreto funzionamento dei processi di gestione e controllo dei rischi.



39

Reg. Congiunto Banca d’Italia - Consob

Si sostanzia nelle strategie, politiche, processi e meccanismi riguardanti l’individuazione, l’assunzione, la gestione, la sorveglianza e l’attenuazione dei rischi a cui l’intermediario è o potrebbe essere esposto e per determinare e controllare il livello di rischio tollerato.


40

DISPOSITIVI DI GOVERNO SOCIETARIO

INDIVIDUAZIONE DI TUTTE LE TIPOLOGIE DI RISCHIO

POLITICHE DI RISCHIO

DETERMINAZIONE LIVELLO DI RISCHIO TOLLERATO

ASSUNZIONE, SORVEGLIANZA, MITIGAZIONE

PROCESSI DI GESTIONE E CONTROLLO


41

Criterio di esercizio del potere da parte delle Autorithies adeguato al raggiungimento del fine con minor sacrificio degli interessi dei destinatari. Applicazione della disciplina da parte degli intermediari che tenga conto delle specificitàdimensionali e operative.


42

Valorizzazione dell’autonomia decisionale degli intermediari ai quali è riservata l’autodeterminazione di politiche, procedure, codici etici e di condotta per ottemperare al disposto normativo.


43

Facoltà lasciata agli operatori di posizionarsi discrezionalmente sul mercato competitivo.

La disciplina fissa obiettivi e requisiti minimali, lasciando liberi gli operatori di definire i propri modelli gestionali.


44

La nuova sfida per le banche è sviluppare strategie incardinate sul governo dei rischi.Si rileva un deciso spostamento dell’attenzione della vigilanza sugli elementi di governance, organizzazione e autovalutazione.


45

Organo con funzione di supervisione strategicaOrgano con funzione di gestione

Organo con funzioni di controllo

La normativa prudenziale ed il regolamento congiunto sono sostanzianzialmente convergenti per

sulla definizione dell’assetto societario.


46

Il sistema dei controlli interni è costituito dall'insieme

delle regole, delle procedure e delle strutture

organizzative che mirano ad assicurare il rispetto delle

strategie aziendali.

Il sistema dei controlli interni è costituito dall'insieme

delle regole, delle procedure e delle strutture

organizzative che mirano ad assicurare il rispetto delle

strategie aziendali.

Istr. di vigilanza, Tit. IV. Cap. 11


47

Il Sistema dei Controlli Interni mira al conseguimento delle

seguenti finalità:

• efficacia ed efficienza dei processi aziendali (amministrativi,

produttivi, distributivi)

• salvaguardia del valore delle attività e protezione dalle perdite

• affidabilità e integrità delle informazioni contabili e gestionali

• conformità delle operazioni con la legge, la normativa di

vigilanza nonché con le politiche, i piani, i regolamenti e le

procedure interne.

Il Sistema dei Controlli Interni mira al conseguimento delle

seguenti finalità:

• efficacia ed efficienza dei processi aziendali (amministrativi,

produttivi, distributivi)

• salvaguardia del valore delle attività e protezione dalle perdite

• affidabilità e integrità delle informazioni contabili e gestionali

• conformità delle operazioni con la legge, la normativa di

vigilanza nonché con le politiche, i piani, i regolamenti e le

procedure interne.Istr. di vigilanza, Tit. IV. Cap. 11


48

I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il

collegio sindacale, la direzione e tutto il personale.

Essi costituiscono parte integrante dell'attività quotidiana della

banca.

I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il

collegio sindacale, la direzione e tutto il personale.

Essi costituiscono parte integrante dell'attività quotidiana della

banca.



49

Le soluzioni organizzative tipiche dell’assetto dei controlli interni devono:

assicurare la necessaria separatezza tra le funzioni operative e di controlloessere in grado di identificare, misurare e monitorare adeguatamente tutti i rischi assunti o assumibili nei diversi segmenti operatividefinire attività di controllo a ogni livello operativo e consentire l'univoca e formalizzata individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di correzione delle irregolarità riscontrateassicurare sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli direzionali ai quali sono attribuite funzioni di controllogarantire che le anomalie riscontrate dalle unità operative, dalla funzione di revisione interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di livelli appropriati dell'azienda consentire la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo temporale.


50

Le banche la cui operatività lo richieda valutano l'opportunità di

concentrare le funzioni di misurazione e controllo integrato dei rischi in

una autonoma struttura.

Tale unità può essere affiancata agli eventuali comitati di gestione dei

diversi profili di rischio (ad esempio, al comitato per il rischio di credito,

al comitato di liquidità, al comitato per l'asset and liability management).

In tal caso sono chiaramente definite le diverse responsabilità e le

modalità di intervento, in modo da garantire la completa indipendenza

dell'unità dal processo di gestione operativa dei rischi.Istr. di vigilanza, Tit. IV. Cap. 11


51

L'attività di revisione interna nelle banche deve essere svolta da una

funzione indipendente (internal audit) volta da un lato a controllare,

anche con verifiche in loco, la regolarità dell'operatività e l'andamento

dei rischi, dall'altro a valutare la funzionalità del complessivo sistema dei

controlli interni e a portare all'attenzione del consiglio di amministrazione

e dell'alta direzione i possibili miglioramenti alle politiche di gestione dei

rischi, agli strumenti di misurazione e alle procedure.




52

PRINCIPI BASILEA

Principio 1

Rientra nella responsabilità del consiglio di amministrazione approvare e riesaminare periodicamente le strategie operative globali e lepolitiche rilevanti dell’istituzione; conoscere i principali rischi assunti dalla banca, stabilire i livelli accettabili di tali rischi e assicurarsi che l’alta direzione adotti le misure necessarie per individuare, misurare, monitorare e controllare i rischi stessi; approvare la strutturaorganizzativa; assicurarsi che l’alta direzione verifichi l’efficacia del sistema di controllo interno. Al consiglio di amministrazione spetta in ultima istanza il compito di assicurare che sia istituito e mantenuto un sistema adeguato ed efficace di controlli interni.


53

PRINCIPI BASILEA

Principio 2

Rientra nella responsabilità dell’alta direzione dare attuazione alle strategie e alle politiche approvate dal consiglio di amministrazione; istituire processi atti a individuare, misurare, monitorare e controllare i rischi assunti dalla banca; mantenereuna struttura organizzativa che individui chiare responsabilità, competenze e relazioni gerarchiche; assicurarsi che le funzioni delegate siano efficacemente assolte; definire appropriate politiche di controllo interno; verificare l’adeguatezza e l’efficacia del sistema di controllo interno.


54

PRINCIPI BASILEA

Principio 3

Il consiglio di amministrazione e l’alta direzione hanno la responsabilità di promuovere elevati standard etici e di integritàe di creare una cultura aziendale che valorizzi e dimostri a tutto il personale l’importanza dei controlli interni. È necessario che tutto il personale di un’organizzazione bancaria abbia chiara cognizione del proprio ruolo nel processo di controllo interno esia pienamente impegnato nel processo medesimo.


55

PRINCIPI BASILEA

Principio 4

Un efficace sistema di controllo interno richiede che siano individuati e costantemente valutati i rischi sostanziali che potrebbero influire negativamente sul conseguimento degli obiettivi aziendali. La valutazione deve estendersi a tutti i rischi cui sono esposte la banca e l’organizzazione bancaria consolidata. Può essere necessaria una revisione dei controlli interni in modo che essi tengano adeguatamente conto dei rischi nuovi o precedentemente non soggetti a controllo.


56

PRINCIPI BASILEA

Principio 5

Le attività di controllo devono essere parte integrante dell’operatività quotidiana di una banca. Un efficace sistema di controllo interno richiede che sia istituita una struttura appropriata, in cui le attività di controllo sono definite ad ogni livello dell’azienda. Queste dovrebbero prevedere: verifiche ai massimi livelli; adeguati controlli sull’operatività dei vari dipartimenti o divisioni; controlli fisici; verifica dell’osservanza dei limiti all’esposizione e azioni correttive in caso di mancata osservanza; un sistema di approvazioni e autorizzazioni; un sistema di verifiche e riscontri.


57

PRINCIPI BASILEA

Principio 6

Un efficace sistema di controllo interno richiede che vi sia un’adeguata separazione delle funzioni e che al personale non vengano assegnate responsabilità contrastanti. Le aree di potenziale conflitto di interessi devono essere individuate, ridotte al minimo, nonché sottoposte a sorveglianza accurata e indipendente.


58

PRINCIPI BASILEA

Principio 7

Un efficace sistema di controllo interno richiede che siano disponibili adeguati ed esaurienti dati interni sugli aspetti finanziari, operativi e di conformità, nonché informazioni esterne di mercato su fatti e situazioni rilevanti ai fini del processo decisionale. Le informazioni devono essere affidabili, tempestive e accessibili; esse devono inoltre essere fornite con modalitàuniformi.


59

PRINCIPI BASILEA

Principio 8

Un efficace sistema di controllo interno richiede che operino affidabili sistemi informativi comprendenti tutte le attivitàrilevanti della banca. Tali sistemi, inclusi quelli che contengono e utilizzano dati in forma elettronica, devono essere sicuri, sorvegliati in modo indipendente e assistiti da adeguati dispositivi di emergenza.


60

PRINCIPI BASILEA

Principio 9

Un efficace sistema di controllo interno richiede che siano istituiti efficaci canali di comunicazione per assicurare che tutto il personale conosca esattamente e osservi le politiche e le procedure attinenti alle proprie funzioni e responsabilità, e che ogni altra informazione rilevante pervenga al personale appropriato.


61

PRINCIPI BASILEA

Principio 10

L’efficacia complessiva dei controlli interni della banca deve essere verificata in modo continuativo. Il monitoraggio dei principali tipi di rischio, così come le valutazioni periodiche da parte dei settori operativi e dei revisori interni, devono rientrare nell’attività quotidiana della banca.


62

PRINCIPI BASILEA

Principio 11

Il sistema di controllo interno deve essere sottoposto a un’efficace e completa revisione interna ad opera di personale operativamente indipendente, dotato di formazione e competenza adeguate. La funzione di revisione interna, in quanto parte del monitoraggio del sistema di controllo interno, deve dipendere direttamente dal consiglio di amministrazione (o da un comitato da esso designato) e dall’alta direzione.


63

PRINCIPI BASILEA

Principio 12

Le deficienze individuate nei controlli interni da settori operativi, revisori interni o altro personale adibito a funzioni di controllo devono essere segnalate tempestivamente al livello direzionale appropriato ed essere affrontate con prontezza. Le deficienze rilevanti devono essere segnalate all’alta direzione e al consiglio di amministrazione.


64


65


66

MIFID

GESTIONE

RISCHIO

CONTROLLO

CONFORMITA’REVISIONE

DISPOSIZIONI

DI VIGILANZA

CONFORMITA’

ISTRUZIONI

VIGILANZA

CONTROLLO

RISCHIOREVISIONE

NAC

GESTIONE

RISCHIO


67

MASTER AMLP

68

AGENDAAGENDA


ERM



VALUTAZIONE DEL SCI

69

Gli intermediari istituiscono e mantengono funzioni permanenti, efficaci e indipendenti di controllo di conformità alle norme e se in linea con il principio di proporzionalità, di gestione del rischio dell’impresa e di revisione interna.

Sono funzioni aziendali permanenti, efficaci, indipendenti.Occorre garantirne la correttezza e l’indipendenza assicurando la ricorrenza di determinati requisiti.

Reg. Congiunto Banca d’Ialia - Consob


70

Controlla e valuta regolarmente l’adeguatezza e l’efficacia delle procedure interne per la prestazione dei servizi di investimento

Controlla e valuta le misure adottate per rimediare a eventuali carenze

nell’adempimento degli obblighi da parte dell’intermediarioControlla e valuta le procedure adottate al al fine di prevenire e

individuare le ipotesi di mancata osservanza degli obblighi posti dalla

disciplina di settore Fornisce consulenza e assistenza ai soggetti rilevanti incaricati dei

servizi ai fini dell’adempimento degli obblighi della disciplina di settore

Presenta agli organi aziendali, con periodicità almeno annuale, le relazioni sull’attività svolta

Presenta agli organi aziendali relazioni che riportano la situazione

complessiva dei reclami ricevuti, sulla base dei dati forniti dalla funzione incaricata di trattarli, qualora sia una funzione differente.


71

Collabora alla definizione del sistema di gestione del rischio

Presiede al funzionamento del sistema di gestione del rischio dell’impresa e ne verifica il rispetto da parte della Banca

Verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle

carenze riscontrate nel sistema di gestione del rischioPresenta agli organi aziendali almeno una volta l’anno le relazioni

sull’attività svolta


72

Adotta applica e mantiene un piano di audit per l’esame e la

valutazione dell’adeguatezza e dell’efficacia dei sistemi , dei processi, delle procedure, dei meccanismi di controllo della Banca

Formula raccomandazioni basate sui risultati dei lavori realizzati e ne

verifica l’osservanzaPresenta agli organi aziendali, almeno una volta l’anno, relazioni sulle

questioni relative alla revisione interna.



73


74


75

ELEMENTI FORMALI DEL SCI

L’organizzazione del Sistema dei controlli interni si articola nei seguenti

passaggi formali di supervisione strategica e di gestione:

• adozione normativa interna

• formulazione delle politiche di rischio

• istituzione di funzioni di controllo

• adozione di strumenti di verifica

• disegno flussi

• sedi coordinamento


76

POLITICHE DI RISCHIO

Le politiche di rischio adottate dalla Banca e periodicamente riviste dal Consiglio di amministrazione sono le seguenti:

• Politiche per la gestione del rischio di credito • Politiche per la gestione degli strumenti di CRM• Politiche e processi di gestione del rischio di non conformità• Politiche di rischio del processo finanza• Policy per la gestione del rischio di liquidità• Policy per la gestione dei titoli di proprietà


77

FUNZIONI DI CONTROLLO

Le funzioni di controllo istituite dalla Banca, internamente o esternalizzate, sono le seguenti:

• Funzione di controllo rischio• Funzione di controllo di conformità• Funzione di controllo di conformità alla Mifid• Funzione ICAAP• Funzione di internal audit• Organismo di vigilanza ex D.Lgs. 231/01• Responsabile antiriciclaggio e delegato antiriciclaggio • Responsabile della sicurezza ex L. 626 • Responsabile del trattamento dei dati personali ex Legge Privacy


78

STRUMENTI DI VERIFICA

Gli strumenti di verifica adottati dalla Banca per

l’implementazione delle attività di controllo sono i seguenti:

• controlli settoriali per verifiche di primo livello previsti

nella normativa interna (es. regolamenti e procedure

interne)

• check list settoriali per verifiche di secondo livello

(conformità e controllo sulla gestione dei rischi)

79

Controlli di linea, diretti ad assicurare il corretto svolgimento

delle operazioni. Essi sono effettuati dalle stesse strutture produttive

(ad es., i controlli di tipo gerarchico) o incorporati nelle procedure

ovvero eseguiti nell'ambito dell'attività di back-office.

Controlli di linea, diretti ad assicurare il corretto svolgimento

delle operazioni. Essi sono effettuati dalle stesse strutture produttive

(ad es., i controlli di tipo gerarchico) o incorporati nelle procedure

ovvero eseguiti nell'ambito dell'attività di back-office.



80

Controlli sulla gestione dei rischi, che hanno l'obiettivo

di concorrere alla definizione delle metodologie di misurazione del

rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni

operative e di controllare la coerenza dell'operatività delle singole

aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi

sono affidati a strutture diverse da quelle produttive.

Controlli sulla gestione dei rischi, che hanno l'obiettivo

di concorrere alla definizione delle metodologie di misurazione del

rischio, di verificare il rispetto dei limiti assegnati alle varie funzioni

operative e di controllare la coerenza dell'operatività delle singole

aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi

sono affidati a strutture diverse da quelle produttive.



81

Attività di revisione interna, volta a individuare andamenti

anomali, violazioni delle procedure e della regolamentazione nonché

a valutare la funzionalità del complessivo sistema dei controlli interni.

Essa è condotta nel continuo, in via periodica o per eccezioni, da

strutture diverse e indipendenti da quelle produttive, anche attraverso

verifiche in loco.

Attività di revisione interna, volta a individuare andamenti

anomali, violazioni delle procedure e della regolamentazione nonché

a valutare la funzionalità del complessivo sistema dei controlli interni.

Essa è condotta nel continuo, in via periodica o per eccezioni, da

strutture diverse e indipendenti da quelle produttive, anche attraverso

verifiche in loco.




82

FUNZIONE DI CONTROLLOLIVELLO CONTROLLI

IN AMBITO SCINORMATIVA INTERNA ATTRIBUZIONE

Diffusa Controlli 1° livelloRegolamento SCI

Normative interne settoriali o di processo

Interna

(tutto il personale)

Funzione di controllo rischio o

Risk controller Controlli 2° livello

Regolamento interno aziendale

Regolamento SCI

Normative interne settoriali o di processo

Interna

(es. servizio

controlli)

Funzione di controllo di

conformitàControlli 2° livello

Politiche e processi per la gestione del rischio

di non conformità

Outsourcer

(in parte)

Funzione di controllo di

conformità MifidControlli 2° livello

Politiche e processi per la gestione del rischio

di non conformità Regolamentazione del

processo finanza

Outsourcer

(in parte)

Funzione ICAAP

o Risk managerControlli 2° livello Regolamento del processo ICAAP

Interna

(es. servizio

controlli)

Funzione di Internal Audit Controlli 3° livello Regolamento SCI Outsourcer

Organismo di vigilanza

ex D.Lgs. 231/01Controlli 2° livello

Self assessment 231/01

Modello organizzativo 231/01

Interna con membri

anche esterni

Responsabile antiriciclaggio Controlli 2° livelloRegolamento o disposizioni interne in tema di

riciclaggio

Interna

(es. Presidente e

delegato Direttore)

Responsabile sicurezza Controlli 1°/2° livelloRegolamento o d

isposizioni interne in tema di sicurezza

Interna

( es. Resp. Serv.

Organiz.)

Responsabile privacy Controlli 1°/2° livelloRegolamento o disposizioni interne in tema di

tutela dei dati personaliInterna


83

FUNZIONE DI CONTROLLO DIFFUSA (1° LIVELLO)

I controlli di linea o di primo livello sono diretti ad assicurare il corretto svolgimento delle operazioni e fanno parte delle attivitàordinarie quotidiane. Essi sono effettuati dalle strutture produttive, in genere dalleFiliali, dal Servizio, Ufficio o unità organizzativa deputata. Possono essere incorporati nelle procedure operative o eseguiti nel corso delle attività di back office. Assicurano la conformità di un processo a requisiti sostanziali e formali che sono definiti, rispettivamente, dalle strategie della Banca e dalle normative interne ed esterne.


84

CONTROLLI DI PRIMO LIVELLO O DI LINEA

I controlli di linea o di primo livello, curati dalle unità organizzative coinvolte nei processi, si svolgono con le seguenti modalità:•controllo tradizionale o incrociato, ove un soggetto svolge un’attività ed un altro soggetto della medesima unità organizzativa ne verifica la corretta esecuzione; •controllo mediante supervisione, svolto dal capo gerarchico dell’unitàorganizzativa sull’operato dei propri collaboratori e sulle attività di competenza o delegate o dall’immediato superiore gerarchico sull’attività dei sottoposti;•controllo informatico, eseguito automaticamente dai sistemi informativi per verificare la coerenza oggettiva dei dati immessi

[SEGUE]


85

CONTROLLI DI PRIMO LIVELLO O DI LINEAI controlli di linea o di primo livello, curati dalle unità organizzative coinvolte nei processi, si svolgono con le seguenti modalità:•controlli di tipo fisico, destinati in genere a limitare l’accesso ad attivitàmateriali, come contante e titoli; le operazioni di controllo comprendono le restrizioni fisiche, la duplice custodia e inventari periodici; •approvazioni e autorizzazioni, organizzate mediante richiesta per transazioni superiori a determinati limiti assicura che i livelli direttivi appropriati siano informati della transazione o della situazione e contribuisce a definire le responsabilità.

I controlli possono avere una frequenza giornaliera o periodica e possono essere svolti verificando:

• un numero ridotto casi selezionati mediante campionatura• tutti i casi che rientrano nel perimetro di intervento


86

CONTROLLI DI CONFORMITA’ (2° LIVELLO)I controlli di conformità possono essere svolti con le seguenti modalità:•controllo a distanza, mediante verifiche sugli archivi, sulla normativa interna, sui contratti, mediante accesso alla documentazione utile per l’accertamento;•controllo in loco, presso strutture centrali o periferiche, mediante attività ispettiva volta a quantificare l’esposizione al rischio di non conformità;•supervisione e ricognizione dei controlli di linea, volti ad assicurare la conformità normativa, svolti da altre unità organizzative aziendali.

I controlli possono avere una frequenza giornaliera o periodica e possono essere svolti verificando:•un numero ridotto casi selezionati mediante campionatura•tutti i casi che rientrano nel perimetro di intervento


87

FUNZIONE RISK MANAGEMENT

Le attività di controllo rischio o risk controlling o controllo sulla

gestione dei rischi hanno l'obiettivo di: •concorrere alla definizione delle metodologie di misurazione delrischio •verificare il rispetto dei limiti assegnati alle varie funzioni operative •controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio rendimento


88

VERIFICHE DELLA FUNZIONE RISK MANAGEMENT

(2° LIVELLO)I controlli sulla gestione dei rischi o di secondo livello possono essere svolti con le seguenti modalità:•controllo a distanza, mediante verifiche sugli archivi e l’accesso alle informazioni utili;•controllo in loco, mediante attività ispettiva volta a quantificare l’esposizione al rischio, ad accertare le modalità di gestione dei rischi e l’efficacia dei sistemi di attenuazione.

Le attività tipiche di risk management sono svolte con gli strumenti e le metodologie prescelte del risk measurement e del capital allocation model : modellistica var, calcolo di performace corrette per il rischio, analisi di scostamento.


89

FUNZIONE DI INTERNAL AUDIT

L'attività di revisione interna viene svolta da una funzione indipendente volta da un lato a controllare, anche con verifiche in

loco, la regolarità dell'operatività e l'andamento dei rischi, dall'altro a valutare la funzionalità del complessivo sistema dei controlli interni e a portare all'attenzione del Consiglio di amministrazione e dell'Alta direzione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure.


90

VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)

L’attività svolta è rivolta al miglioramento dell'efficacia e dell'efficienza dell’organizzazione attraverso la valutazione dei processi aziendali.

Obiettivo dell’attività è fornire al Direttore Generale e al Consiglio di amministrazione una valutazione di affidabilità sul Sistema dei controlli, sull’effettivo presidio che lo stesso garantisce rispetto ai rischi, prevenendone o mitigandone l’impatto sugli obiettivi aziendali, di business e di governo.

Dovendo esprimere una valutazione sull’adeguatezza del Sistema dei controlli

interni, l’analisi si focalizza sul presidio complessivo di tutti i rischi e sul loro contenimento entro il livello ritenuto accettabile dalla Banca; indirizza le verifiche periodiche sui processi con profili di rischio ritenuti maggiormente significativi, sulla base di preventive valutazioni di risk assessment.

I rischi sono valutati in termini di rischio inerente (rischio in assenza di qualsiasi intervento) e di rischio residuo (rischio residuo dopo aver attuato interventi per ridurlo mediante sistema dei controlli).

MASTER AMLP

91

AGENDAAGENDA


ERM



VALUTAZIONE DEL SCI

VALUTAZIONE SCI

92

RUOLO DELL’INTERNAL AUDITOR

93

IR – VC = RRRischio

residuo

Valutazione

dei

controlli

Indice di Rischiosità

potenziale

� Per ciascuna normativa rientrante nel perimetro definito, la valutazione sull’adeguato presidio e sulla corretta gestione dei rischi di conformità viene effettuata secondo le regole di seguito illustrate

– Preliminare individuazione e valutazione dei “Rischi potenziali” relativi alla non conformità alle norme, condotta attraverso l’attribuzione di un giudizio qualitativo ai seguenti due parametri:

� “peso o significatività”

� “frequenza/probabilità”

– Successiva valutazione dei presidi esistenti in termini di adeguatezza a ridurre entro limiti di accettabilità i rischi individuati

– Determinazione del livello di rischio residuo (scoring) determinata dall’algoritmo di valutazione sulla base della combinazione dei giudizi precedenti

VALUTAZIONE SCI

VALUTAZIONE SCI

94

VERIFICHE DELL’ INTERNAL AUDIT (3° LIVELLO)Indice di rischiosita' potenziale (grading)

Fasi del processo Continuita' Alto Medio BassoTotale rischi

Pianificazione e Organizzazione 1 4 0 0 5

Concessione e Revisione 7 17 10 2 36

Monitoraggio 1 12 6 0 19

Gestione del Contenzioso e Cartolarizzazione 2 18 6 0 26

Totale 11 51 22 2 86

Peso indice di rischiosita' 12,79% 59,30% 25,58% 2,33% 1 00%

Indice di rischiosita' residuale (scoring)

Fasi del processo5 4 2 1 0

Non valutati

Totale rischi

Pianificazione e Organizzazione 0 0 1 0 4 0 5Concessione e Revisione 0 2 2 3 26 0 33Monitoraggio 0 0 2 0 12 0 14Gestione del Contenzioso e Cartolarizzazione 0 0 0 0 19

019

Totale 0 2 5 3 61 0 71

Peso indice di rischiosita'0,00%

2,82%

7,04%

4,23% 85,92% 0,00% 100%

VALUTAZIONE SCI

95


Indice di rischiosita' potenziale (grading)

Indice di rischiosita' residuale (scoring)

Continuita' Alto Medio Basso Totale

5 0 0 0 0 0

4 0 1 1 0 2

2 0 4 1 0 5

1 0 2 1 0 3

0 7 34 18 2 61

Totale rischi 7 41 21 2 71

VALUTAZIONE SCI

96


Determinazione dell’Indice di Rischiosita’ Valutazione delle “Tecniche di controllo”

PesoFrequenzaProbabilità

IndiceRischiosita’potenziale

AssenteInadeguato

In prevalenzaInadeguato

Parzialmente

Adeguato

In prevalenzaAdeguato

Adeguato

CONTINUITA’

ALTO

100 5 5 4 2 0MEDIO

BASSO

ALTO

ALTO 80 4 4 2 1 0

MEDIO 75 4 4 2 1 0

BASSO 70 4 4 2 1 0

MEDIO

ALTO 60 4 2 2 1 0MEDIO 50 2 2 2 1 0

BASSO 40 2 2 1 1 0

BASSO

ALTO 30 2 1 1 0 0

MEDIO 20 1 1 0 0 0

BASSO 15 1 1 0 0 0

VALUTAZIONE SCI

97

VALUTAZIONE SCI

98

VALUTAZIONE SCI

99

VALUTAZIONE SCI

100

VALUTAZIONE SCI

101

VALUTAZIONE SCI

102

ESIGENZE DI GOVERNANCE E SCI

Il cambiamento è una costante da considerare nelle decisioni che riguardano il governo aziendale.

La teoria organizzativa oscilla fra le opinioni secondo le quali il management deve anticipare il cambiamento oppure governarne gli effetti.

Il SCI fornisce ai diversi livelli decisionali preziose informazioni sui risultati della gestione e sull’organizzazione aziendale.

VALUTAZIONE SCI

103

SCI E ORGANIZZAZIONE

Il ruolo informativo del SCI è sottovalutato.

La caratteristica tipica del SCI è la sua aderenza alla struttura organizzativa sulla quale viene modellato.

Si instaura un continuum logico e funzionale fra SCI e struttura organizzativa della Banca.

Questo è il punto di approdo di un percorso evolutivo in base al quale il controllo ha via via arricchito le finalità in ragione dei mutamenti aziendali.

VALUTAZIONE SCI

104

EFFETTIVITA’ DELLE DEFINIZIONI

Lo SCI ha una valenza in rapporto all’organizzazione aziendale e alla funzionalità che assume.

La definizione di SCI è piena di intenti, ma spesso conduce a scarsi risultati, perché inficiata nei presupposti.

Non esiste un SCI ottimale in assoluto, ma vi sono principi generali che ne ispirano l’impianto e la manutenzione.

VALUTAZIONE SCI

105

FINALIZZAZIONE DEL CONTROLLO

Le parti del SCI non sono individuate in maniera tassativa, ma in relazione agli obiettivi che sono deputate a raggiungere.

In sostanza, c’è un forte nesso fra le componenti del SCI e le finalità alle quali sono preposte.

La funzionalità e l’efficacia del SCI viene stimata misurando il legame che corre fra obiettivi aziendali e controllo. Tale legame dev’essere STRETTO.

VALUTAZIONE SCI

106

VALORE DEI FLUSSI DI RITORNO

I riscontri del SCI rispetto a quanto programmato o atteso rappresentano il livello di raggiungimento degli obiettivi aziendali.

Il flusso di ritorno che deriva dal controllo rappresenta le aree analizzate e permette di correggere deviazioni, rivedere comportamenti, riposizionare gli obiettivi.

Il controllo alimenta un processo di apprendimento organizzativo, poiché fornisce importanti informazioni per riallineare gli iter operativi alle esigenze aziendali.

VALUTAZIONE SCI

107

CONTENIMENTO DEI RISCHI

Il SCI si qualifica per la capacità di ridurre le probabilità di verificarsi un evento dannoso.

Il SCI svolge un’azione preventiva. Di fatto lo scopo del SCI è indirizzare l’organizzazione verso il perseguimento degli obiettivi minimizzando i rischi di percorso.

Per assicurare sistematicità dei controlli occorre definire tipologia ed intensità dei rischi (mappatura).Tale attività è propedeutica alla valutazione economica.

VALUTAZIONE SCI

108

SOLO CONTROLLI UTILI

E‘ necessario verificare nel continuo la congruità dei controlli rispetto agli obiettivi.

Il controllo ha ragione di esistere, ed è economicamente e organizzativamente giustificato, solo se:

-la sua azione contribuisce a orientare l’azienda verso il raggiungimento dei risultati-il suo costo è inferiore alla quantificazione economica del rischio.

VALUTAZIONE SCI

109

EVITARE LA STRATIFICAZIONE

Occorre revisionare periodicamente il SCI e confermare solo i controlli che aggiungono valore rispetto al loro costo di impianto e di mantenimento.Si tratta di una rivisitazione della funzionalità del SCI.

VALUTAZIONE SCI

110

SFRUTTARE I VANTAGGI DELL’ IT

L’impiego delle tecnologie informatiche riduce margini di discrezionalità operativa.

Numerosi controlli di linea sono incorporati nelle procedure e sono intrinseci nell’esecuzione.

I controlli di compliance possono essere eseguiti in remoto con maggior velocità di esecuzione.

L’analisi di data base consente di verificare contemporaneamente processi e rischi che coinvolgono diverse unità.

VALUTAZIONE SCI

111

SISTEMATICITA’ DELLE VERIFICHE

La robustezza del SCI non è positivamente correlata alla numerosità dei controlli.

Il SCI è efficace se il coordinamento dei controlli riesce a fronteggiare i rischi complessivamente considerati.

I rischi hanno naturale capacità di aggregazione, diventano facilmente un sistema. Spesso è la presenza contemporanea di più rischi che ne potenzia l’impatto dannoso. I controlli tendono alla singolarità. Ma se singolarmente validi possono perdere di efficacia se non coordinati.

VALUTAZIONE SCI

112

SELEZIONE DELLE METODOLOGIE

Le verifiche on site sono costose e più lente (costo uomo, overpressing, accesso agli archivi).Sortiscono un buon effetto psicologico (repressivo). Sono indispensabili per ricognizioni cartolari, asseveramenti.

I controlli remoti sono più economici e tendenzialmente piùtrasversali. Colgono la visione d’insieme di una grande quantità di dati. Sono caratterizzati da velocità di esecuzione.

Le verifiche effettuate avvalendosi di strumenti IT sono piùcomplete, esaustive ed interfunzionali.

VALUTAZIONE SCI

113

MAPPATURA PROCESSI E DEFINIZIONE CONTROLLI

Il SCI è innervato nell’organizzazione della Banca.

Disegnare flow chart di processo è fondamentale per la definizione delle procedure operative e l’adozione di adeguata normativa interna.

Ad ogni snodo operativo occorre domandarsi quali sono i rischi connessi e concepire i controlli più adeguati.

VALUTAZIONE SCI

114

ORGANIZZAZIONE DI PROCESSO & SCI

VALUTAZIONE SCI

115

UNA SEDE DI COORDINAMENTO

Occorre individuare una sede di coordinamento di tutte le verifiche previste dal SCI.

Un forum dovrebbe riflettere in maniera strutturata, formalizzata, con cadenza ricorrente sui risultati delle analisi effettuale, pianificando le linee di intervento future.

Occorre comporre un quadro dei controlli organico, coerente e funzionale. Occorre successivamente definire le attività, la distribuzione per funzione e le modalità di svolgimento.

VALUTAZIONE SCI

116

POLITICA DEI CONTROLLI

Nel concepire il Sistema dei controlli interni, la Banca opera un' attenta valutazione fra i costi ed i benefici che ne trae: ogni nuovo controllo comporta una distrazione, dalle attività svolte, di risorse umane, tecniche e finanziarie e pertanto è necessario pervenire ad un giusto bilanciamento fra i costi di implementazione del sistema ed i benefici che ne derivano.

Affinché la valutazione dei rischi ed il Sistema dei controlli interni

mantengano la loro efficacia, il Direttore Generale esamina costantemente i rischi connessi alle attività svolte dalla Banca e reagisce al mutare delle circostanze e delle condizioni. In tali casi ènecessaria una revisione dei controlli interni e la definizione di prioritànello svolgimento delle attività di verifica.

VALUTAZIONE SCI

117

VALUTAZIONE SCI

118

POLITICA DEI CONTROLLI

VALUTAZIONE SCI

119

PIANIFICAZIONE DEI CONTROLLI

Tenuto conto della moltiplicazione dei punti di controllo e dei presidi richiesti dalla normativa, il Consiglio di amministrazione deve indirizzare le attività di controllo con l’obiettivo di evitare sovrapposizioni e ridondanze.

Posto che nell’arco di un esercizio è impossibile svolgere tutte le tipologie di verifiche previste dal Sistema dei controlli interni senza caricare eccessivamente la struttura dei costi, il Consiglio di amministrazione, con il supporto della funzione di Audit e del Collegio Sindacale, potrebbe definire un Piano annuale delle verifiche, individuando le attività oggetto di particolare attenzione e ritenute prioritarie.

SI TRATTA DI UN PIANO SUI CONTOLLI GLOBALE ED INTEGRATO.

VALUTAZIONE SCI

120

PIANIFICAZIONE DEI CONTROLLIIl Piano annuale delle verifiche risponde ai precisi criteri per la selezione e la programmazione delle attività di controllo. Tali criteri sono riconducibili a circostanze esterne alla Banca ed interne ad essa:•carenze rilevate dal Collegio Sindacale•esito del processo ICAAP e dell’autovalutazione•segnalazioni dell’organismo di vigilanza ex DLgs. 231/01•esito di interventi di vigilanza ispettiva o informativa delle Autorità di vigilanza (es. Banca d’Italia, Consob, Isvap, UIF, GdF)•esito delle attività di Internal Audit•evoluzione attesa del mercato, delle condizioni ambientali e di contesto in cui opera la Banca•pianificazione strategica delle linee di business•entrata in vigore di nuove normative.

121

VALUTAZIONE SCI

L’impianto di un corretto sistema di risk governance passa

attraverso alcune fasi fondamentali: il bilanciamento dei poteri

all’interno dell’azienda, la formalizzazione delle politiche di

governo dei rischi, il riesame periodico dell’efficacia di tali

politiche, la verifica dell’effettiva ed efficace attuazione delle

politiche medesime.

A.M. Tarantola, Banca d’Italia, ottobre 2007

MORAL SUASION BANCA D’ITALIA

122

Al di là dei controlli strutturali, rileva “l’idoneitàdegli assetti organizzativi, la gestione e il controllo dei rischi per la determinazione del capitale adeguato per fronteggiare le perdite, per contemperare l’autonomia delle banche con gli obiettivi prudenziali.”

Relazione annuale Banca d’Italia, 2007

VALUTAZIONE SCI


123

VALUTAZIONE SCI

E’ necessario procedere a un riassetto delle vigenti istruzioni di

vigilanza in materia di controlli interni, per ricondurre ad unità e

coordinare i diversi interventi. [..] Occorre restituire organicità,

unitarietà e completezza alla materia. [..] I temi centrali sui quali è

necessario riflettere sono: l’unitarietà e l’organicità del sistema dei

controlli, il dialogo fra le diverse funzioni preposte, la valorizzazione di

tutti gli obiettivi del controllo, la necessità di aggiornare nel continuo

le modalità di misurazione e valutazione dei rischi.

A.M Tarantola, Banca d’Italia, giugno 2008


124

VALUTAZIONE SCI

Il coordinamento fra le diverse funzioni di controllo deve essere

realizzato a livello dei vertici aziendali, anche incoraggiando il

confronto e lo scambio di idee tra i diversi soggetti responsabili,

soprattutto per gli aspetti di confine.

A.M Tarantola, Banca d’Italia, giugno 2008


125

VALUTAZIONE SCI

L’organo di controllo ha la responsabilità di vigilare sulla funzionalità del

complessivo sistema dei controlli interni. Considerata la pluralità di funzioni e

di strutture aziendali aventi compiti di responsabilità e controllo, tale organo

è tenuto ad accertare l’efficacia di tutte le strutture e funzioni coinvolte nel

sistema dei controlli e l’adeguato coordinamento delle medesime.

L’organo di controllo vigila sull’adeguatezza del sistema di gestione e

controllo dei rischi.

Disp. Di Vigilanza in materia di

organizzazione e governo societario


VALUTAZIONE SCI

126

NUOVO SCILe Istruzioni di vigilanza prevedono che il Sistema dei controlli interni

debba essere periodicamente soggetto a ricognizione e validazione in relazione all'evoluzione dell'operatività aziendale e al contesto di riferimento.

In considerazione dei molteplici interventi normativi che hanno interessato la materia dei controlli, il Consiglio di amministrazione deve necessariamente delineare un quadro aggiornato del Sistema dei

controlli interni.

Tenuto conto della pluralità delle funzioni di controllo istituite in ottemperanza alle recenti normative, il Consiglio di amministrazione dovrebbe definire un modello organizzativo per una corretta strutturazione del Sistema dei controlli interni.

VALUTAZIONE SCI

127

NUOVO SCI

Il Consiglio di amministrazione dovrebbe individuare, con un nuovo Regolamento del SCI, soluzioni organizzative proporzionate alle caratteristiche strutturali della Banca e albusiness tipico.

Il documento si pone l’obiettivo di individuare formule organizzative e prassi operative che valorizzino le sinergie fraorgani, funzioni e strutture di controllo, eliminando inutili sovrapposizioni.

Il nuovo SCI dovrebbe incardinarsi sul momento di coordinamento e pianificazione dei controlli.

FINE

128

Grazie per l’[email protected]

MASTER AML SCI 1x - airant.it · dei rischi, dall'altro a valutare la funzionalità del complessivo...

Documents

Transcript of MASTER AML SCI 1x - airant.it · dei rischi, dall'altro a valutare la funzionalità del complessivo...