La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

1. 2 Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo”

Presentazioni simili


Presentazione sul tema: "1. 2 Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo”"— Transcript della presentazione:

1 1

2 2 Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo” si è dato corso, con BCC Multimedia, alla realizzazione dello strumento applicativo:  per il supporto alle attività di Internal Auditing delle Federazioni locali  per l’analisi dei rischi e dei controlli nelle BCC Obiettivi di A.R.Co. Garantire un approccio omogeneo, in termini di metodo, di prassi operative e di reportistica delle Conseguire una maggiore efficacia ed efficienza dei servizi di audit delle Federazioni locali: sia nelle attività sul campo, sia in quelle di back-office Svolgere le attività di audit secondo una logica di trasparenza verso le BCC, garantendo la tracciabilità dei controlli Superare la “distanza” con la banca, assicurando la continuità dell’attività di controllo e il monitoraggio degli interventi effettuati dalla BCC Consentire la gestione e l’aggiornamento dei contenuti e del sistema a livello centrale A.R.Co. (Analisi Rischi e Controlli)

3 3 Maggiore velocità e completezza delle attività sul campo Operatività da qualsiasi postazione (presso BCC o Federazione) Accresciuta capacità di analisi e storicizzazione dei dati Gestione della pianificazione e degli archivi “multibanca” TECNOLOGIA WEB CONDIVISIONE DELLE CONOSCENZE e MIGLIORAMENTO DEI PROCESSI DI LAVORO È comunque possibile “lavorare” i rischi in modalità off-line

4 4 Alcune funzionalità dell’applicativo…  Modulo Banca - E’ stato realizzato per dare la possibilità alle BCC di condurre la propria autodiagnosi, sia in termini di Rischi che di Controlli.  Utilizzo diversificato delle check-list - attraverso diverse “denominazioni” dei rischi (analizzabili / da non analizzare; assegnati / non assegnati; applicabili / non applicabili; valutati / non valutati).  Possibilità di inserire rischi personalizzati (rischi “custom”) - in presenza di specifiche esigenze l’amministratore può aggiungere rischi “ad hoc” ai processi auditati. Tali rischi, a disposizione della Federazione che li ha immessi, possono anche essere portati all’attenzione della Commissione Controlli e qualora “validati” entrare a far parte delle check-list di Categoria.  Sezione “Documentazione” - in quest’area possono essere inseriti e gestiti, associandoli ad ogni singola banca, i documenti utilizzati o visionati nel corso dell’attività di auditing.  Classificazione dei rischi operativi per tipologia di eventi di perdita secondo Basilea 2 (Frode interna; Frode esterna; Rapporto di impiego e sicurezza sul lavoro; Clientela, prodotti e prassi di business; Danni a beni materiali; Interruzioni dell’operatività e disfunzioni dei sistemi informatici; Esecuzione, Consegna e gestione dei processi).

5 5 Alcune funzionalità dell’applicativo…  D.Lgs 231/ identificazione dei rischi il cui adeguato presidio implica un rispetto dei protocolli organizzativi definiti a livello di Categoria nel corso del Progetto sul D.Lgs disciplina sulla “Responsabilità amministrativa degli enti”.  Nella conduzione di verifiche di “Follow-up”, visualizzazione automatica dei rischi compilati nel corso di un precedente intervento. Alcune novità introdotte con “A.R.Co. 2”…  Nuovi processi di verifica: “Piano Integrativo”, per ottimizzare il recepimento delle nuove check list inserite nell’applicativo; “Piano Normativo”, per effettuare verifiche “trasversali” ai processi, nell’ottica di rendere ARCo più funzionale alla verifica dei rischi di conformità alle norme; “Piano Filiali”, per effettuare verifiche sullo stesso processo per le diverse filiali della Banca.  Potenziamento dell’utenza Banca: possibilità di pianificare autonomamente le attività di verifica condotte internamente e di storicizzare i controlli effettuati

6 6 La struttura dell’applicativo “A.R.Co.” In A.R.CO. sono censiti tutti i 20 processi (suddivisi in fasi, sottofasi e attività) rilasciati nell’ambito del Progetto di Categoria sul Sistema dei Controlli Interni.

7 7 La struttura dell’applicativo “A.R.Co.” Rischio i Rischio 1 Rischio 2 Fase 2 Fase 2 Fase 1 Fase 1 Fase i Fase i Fase n Fase n Approccio “RISK BASED” Impatto dei rischi Mitigazione dei rischi Controlli di linea Controlli sulla gestione dei rischi, di conformità Controlli Internal Auditing Basso Medio Alto Continuità FREQUENZA Alto Medio Basso PESO Indice di rischiosità

8 8 Basso Medio Alto Continuità FREQUENZA Alta Media Bassa PESO Indice di rischiosità potenziale LA METODOLOGIA “RISK BASED” I rischi sono stati valutati in modo qualitativo attraverso l’analisi di due parametri:  il “peso” (Continuità, Alto, Medio, Basso) si riferisce all’intensità del danno potenzialmente derivante dalla manifestazione del rischio  la “frequenza” (Alta, Media, Bassa) si riferisce alla stima del numero di volte in cui il rischio potrebbe manifestarsi all’interno della gestione delle fasi analizzate ovvero la ricorrenza potenziale del rischio all’interno del processo La valutazione complessiva del rischio ha portato alla definizione di un indice di rischiosità potenziale (grading), che contempla l’effetto congiunto dei due parametri indicati

9 9 LA METODOLOGIA “RISK BASED” Abbatte nella misura percentuale sopradefinita l’Indice di Rischiosità potenziale (grading) Alto Alta Media Bassa Alta Media Bassa Medio Alta Media Bassa Basso Alta Media Bassa Continuità /11 11/27 27/54 54/80 80/100 Peso rischio Frequenza rischio Valutazione tecniche di controllo Indice Rischiosità Potenziale Rischio Residuo Scoring = + = - Adeguato In Prevalenza Adeguato Parzialmente Adeguato In Prevalenza Inadeguato Inadeguato / Assente - 90% - 70% - 45% - 20% - 0%

10 10 LA METODOLOGIA “RISK BASED” Determinazione dell ’ Indice di Rischiosit à Valutazione delle “ Tecniche di controllo ” Peso Frequenza probabilit à Indice rischiosit à potenziale Assente inadeguato In prevalenza inadeguato Parzialmente adeguato In prevalenza adeguato Adeguato Continuit à ALTO MEDIO BASSO AltoALTO MEDIO BASSO MedioALTO MEDIO BASSO BassoALTO MEDIO BASSO

11 11 LA METODOLOGIA “RISK BASED” Ad ogni intervallo di rischio residuo è associato un valore sintetico (SCORING) che esprime un diverso grado di rischiosità, secondo la seguente legenda: La tecnica di controllo in essere risulta essere assente o inadeguata a ridurre il rischio ad un livello accettabile La tecnica di controllo non appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile La tecnica di controllo appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile, ancorché risulta essere migliorabile La tecnica di controllo appare adeguata a ridurre il rischio ad un livello accettabile 5 La tecnica di controllo in essere sui rischi di continuità aziendale, ossia rischi che possono pregiudicare la capacità di sopravvivenza dell’azienda, risulta essere assente, inadeguata o in prevalenza inadeguata a ridurre il rischio ad un livello accettabile

12 12 LE FUNZIONALITÀ PRINCIPALI  METODOLOGIA – sezione in cui sono visualizzabili le informazioni definite, relative a Processi, Categorie di Rischio, Fattori Qualificanti, Albero Normativo.  AUDITING – sezione che consente la pianificazione degli interventi di audit, la creazione e l’effettiva gestione delle verifiche, la generazione dei report.  RISCHI/CONTROLLI – agevola le ricerche su rischi e verifiche; consente di effettuare statistiche di vario genere incrociando diversi parametri (anni, piani, banche…).  DOCUMENTAZIONE – sezione per inserire e gestire la documentazione relativa alle banche auditate.  UTENTI – attraverso tale sezione l’amministratore può gestire gli utenti di A.R.Co.: inserirne di nuovi, modificarne i profili, eliminarli o ricercarli.  BANCHE – sezione per gestire le banche sotto contratto attraverso una serie di informazioni (nome, cod.ABI, scadenza contratto, referente interno, ecc.).  EXTRA – sezione con diverse funzioni: gestione delle “unità organizzative”, dei rischi “custom”, della lista Filiali, della lista Categorie, dei Report Auditor.  PASSWORD – sezione per la gestione delle password di accesso ad A.R.Co. Struttura dell’applicativo – le sezioni

13 13 Il c.d. “modulo banca” è stato realizzato per consentire alle BCC di condurre la propria autodiagnosi, in termini di valutazione dei rischi e dei controlli interni alla banca. La diversa periodicità dei controlli interni, in particolare sulla gestione dei rischi, ha determinato la necessità di rimodulare l’applicativo rendendo indipendente la pianificazione e la storicizzazione di tali controlli rispetto alla tempistica delle verifiche dei piani di audit. È possibile produrre anche un report per la consuntivazione e verifica dell’attività di Risk Self Assessment effettuata, in termini di valutazione dei rischi e dei relativi controlli, e la produzione di report di consuntivazione degli stessi. La BCC ovvero gli utenti abilitati possono, infatti, relativamente ai controlli di linea, sulla gestione dei rischi, e di conformità, descrivere le attività necessarie al presidio dei rischi e generare la relativa reportistica. L’utilizzo di A.R.Co. in BCC LE FUNZIONALITÀ PRINCIPALI

14 14 Il flusso di lavoro dell’Internal Auditing LE FUNZIONALITÀ PRINCIPALI ARCo è stato progettato sulla base dell’effettivo flusso di lavoro logico necessario a realizzare un intervento di Audit. Il suo utilizzo, quindi, prevede i seguenti passaggi:  il censimento della Banca e degli utenti da parte dell’Amministratore  la creazione da parte dello stesso dei Piani di audit e delle relative verifiche  l’assegnazione delle verifiche agli auditors  l’audit dei rischi presenti nella singola verifica e la consultazione dei controlli in essere, compilati dalla Banca  la creazione dei report

15 15 La pianificazione delle verifiche LE FUNZIONALITÀ PRINCIPALI  Il Piano di audit può contenere più verifiche  Una verifica può essere relativa soltanto ad un unico processo *  Il processo può essere auditato da diversi auditors; la procedura consente comunque la creazione di un unico Report ordinario  Il Piano di audit di “follow up” può contenere sia verifiche di processi auditati nel piano standard, sia nuove verifiche  Nella conduzione di un’attività di follow-up visualizzazione automatica dei rischi compilati nel corso del precedente intervento * Unica eccezione: nel “piano filiali” è possibile effettuare più verifiche sullo stesso processo per le diverse filiali della banca Attraverso questa funzionalità vengono progettate tutte le attività di auditing relative ad una BCC per uno specifico anno, ovvero si configura il piano di azione del Servizio di Internal Auditing della Federazione.

16 16 La pianificazione delle verifiche – il perimetro dell’intervento di audit LE FUNZIONALITÀ PRINCIPALI I rischi associati alla verifica rappresentano il perimetro dell’intervento di audit. Federazione (amministratore ) Federazione/BCCAuditor da non analizzare analizzabileassegnatoapplicabilevalutato non valutato non applicabile non assegnato Il rischio “da non analizzare” è il rischio che il Responsabile del servizio di Internal Audit decide di non valutare per tutte le BCC che hanno esternalizzato il servizio alla FL. Il rischio “non assegnato” è il rischio che il Responsabile del servizio di Internal Audit di concerto con la banca decide di non valutare e viene pertanto escluso dalle verifiche. Il rischio “non applicabile” è il rischio che non è presente all’interno della banca. Il rischio “non valutato” è il rischio che è stato assegnato alla verifica ma non è stato valutato sul campo per problemi contingenti.

17 17 LE FUNZIONALITÀ PRINCIPALI La conduzione delle verifiche – analisi dei rischi : Un rischio elementare viene identificato attraverso i seguenti elementi:  descrizione del rischio  categoria di rischio  peso e frequenza  fattore qualificante del sistema dei controlli interni  controlli di linea (controlli di impianto e comportamentali)  controlli sulla gestione dei rischi (controlli di secondo livello)  controlli di Internal auditing (descrizione attività internal auditing)

18 18 I fattori qualificanti del Sistema dei Controlli interni Rappresentano fattori critici del SCI, la cui inosservanza può determinare disfunzioni che possono tradursi “in notevoli perdite per le banche” di natura economico, patrimoniale e di immagine. Il concetto di adeguatezza si fonda sull’esperienza dei fattori che testimoniano “uno scarso rigore” nei controlli interni e che quindi, si sono rilevati inadeguati ad assicurare una gestione sana, imparziale e trasparente delle attività aziendali. Il modello si basa sulle caratteristiche del controllo interno messo a punto dal c.d. CoSO Report (il CoSO Report sintetizza i risultati del progetto USA commissionato dalla Treadway Commissione of Sponsoring Organization sul tema della corporate governance e del sistema dei controlli interni) il quale è costituito da una serie di fattori qualificanti : 1)L’ambiente di controllo è rappresentato dalla sensibilità dei vertici aziendali nella definizione di un adeguato ambiente di controllo 2)La valutazione dei rischi, ossia il processo continuo di identificazione e di analisi di quei fattori che possono pregiudicare il raggiungimento degli obiettivi aziendali 3)La struttura dei controlli consiste nelle modalità con cui vengono strutturati i diversi livelli di controllo necessari all’interno della banca (di linea, sulla gestione dei rischi e di revisione interna) 4)Informazioni e comunicazioni, ossia il processo di gestione del flusso informativo (qualità, tempestività, completezza e integrità delle informazioni) 5)L’attività di monitoraggio consiste nella capacità della banca di presidiare in modo continuativo, il Sistema dei Controlli Interni, nonché di attivare gli interventi migliorativi definiti al fine di risolvere le principali criticità rilevate ed in particolare nell’incisività della banca nel rimuovere le anomalie. Ogni rischio è “agganciato” ad uno o più elementi dei singoli fattori qualificanti.

19 19 LE FUNZIONALITÀ PRINCIPALI La conduzione delle verifiche – la valutazione dei controlli I controlli di linea e sulla gestione dei rischi sono valutati in base alla loro capacità di ridurre l’indice di rischiosità potenziale. La scala di valutazione qualitativa dei controlli esistenti è la seguente: 1.Adeguato 2.In prevalenza adeguato 3.Parzialmente adeguato 4.In prevalenza inadeguato 5.Inadeguato/assente La valutazione complessiva dei controlli determina il “rischio residuo” ovvero il livello di rischiosità individuato (indice di rischiosità potenziale) ridotto (in misure percentuali predefinite) dal livello complessivo di adeguatezza dei controlli attivati dalla banca. Il Rischio Residuo si traduce nello “scoring”. Scoring (rischio residuo) = Indice di rischiosità – valutazione controlli

20 20 LE FUNZIONALITÀ PRINCIPALI La conduzione delle verifiche – utilizzo off-line È possibile auditare i rischi anche in modalità off line. In questo modo è possibile lavorare senza essere collegati ad A.R.Co., utilizzando un file Access (con maschere guidate): la maschera, per ciascun rischio, conterrà le stesse informazioni che si trovano sulla versione online, relativamente alle tre tipologie di controllo possibilità di generare un report riepilogativo delle attività svolte in merito alla valutazione dei controlli di linea e sulla gestione dei rischi Selezione rischi da “esportare” Lavorazione dei Rischi OFF-LINE Importazione dei Rischi in ARCo Report off-line Il file access ha un codice identificativo/nome univoco e riconoscibile. Per ciascun rischio in lavorazione non è disponibile lo storico delle valutazioni ma solo quella precedente in caso di Followup.

21 21 Predisposto al termine di un intervento di audit su un processo, ha la finalità di valutare i presidi attivati al fine di controllare e mitigare i rischi relativi al processo auditato e di indicare i punti di debolezza individuati nel processo suggerendo eventuali interventi volti a innalzare la sicurezza e la qualità del Sistema dei Controlli. La struttura del documento 1.DEFINIZIONE DEGLI OBIETTIVI DELL’INTERVENTO (le finalità dell’intervento) 2.GIUDIZIO COMPLESSIVO (la valutazione complessiva dell’audit sul processo) 3.PRINCIPALI ELEMENTI DI CRITICITA’ (con i suggerimenti idonei per la rimozione) 4.ATTIVITA’ SVOLTE (descrizione delle attività di auditing effettuate) 5.LIMITI DELL’INTERVENTO (indicazione di specifici limiti connessi ad esempio alla indisponibilità di documenti e/o informazioni necessarie per l’obiettivo di audit o alla carenza nella collaborazione) 6.METODOLOGIE UTILIZZATE (nella conduzione dell’attività di revisione interna) APPROFONDIMENTI SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO SEZIONE II - MASTER PLAN DEGLI INTERVENTI SEZIONE III - PRINCIPALI DOCUMENTI ANALIZZATI SEZIONE IV - METODOLOGIA RISK BASED La reportistica - IL REPORT ORDINARIO

22 22 SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO IL REPORT ORDINARIO - APPROFONDIMENTI La tabella 1 indica per ogni fase del processo auditato il livello di rischiosità potenziale standard (in relazione alle check list rilasciate nell’ambito del progetto di Categoria sul Sistema dei Controlli Interni) La tabella 1 bis indica per ogni fase del processo auditato il livello di rischiosità potenziale dei rischi che sono stati inseriti nel Piano di audit. Sono quindi evidenziati anche i rischi “non applicabili”

23 23 RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ RESIDUALE DEL PROCESSO Nella tabella 2 sono classificati, per ogni fase del processo auditato, i rischi residui ovvero gli scoring dei rischi valutati, attraverso la differenza tra rischi potenziali (tabella 1 bis) e tecniche di controllo attuate dalla banca sul processo esaminato. La tabella 3 evidenzia la suddivisione dei rischi per scoring associata alla valutazione iniziale del rischio (indice di rischiosità potenziale). Fornisce quindi alla banca un supporto nella definizione delle priorità di intervento nel percorso di adeguamento dei Controlli Interni. Dovrà essere data priorità alle implementazioni relative ai rischi con scoring maggiore. ABBATTIMENTO LIVELLO RISCHIOSITÀ POTENZIALE IL REPORT ORDINARIO - APPROFONDIMENTI

24 24 ABBATTIMENTO PERCENTUALE DEL RISCHIO VALUTATO La tabella 4 riporta la riduzione percentuale del peso potenziale dei rischi da parte del sistema dei controlli interni relativamente al processo “auditato”. Le percentuali indicate, rappresentano dunque l’efficacia del presidio dei controlli di “linea e sulla gestione dei rischi” La tabella 4 bis riporta la riduzione percentuale del peso potenziale dei rischi assegnati alla verifica: a differenza della tabella precedente sono quindi considerati anche i rischi “non valutati” IL REPORT ORDINARIO - APPROFONDIMENTI

25 25 COMPLESSITÀ INTERVENTI PER SCORING La tabella 5 sintetizza gli interventi suggeriti dall’Internal Audit per la rimozione delle anomalie riscontrate: gli interventi sono classificati sulla base della priorità di implementazione determinata dallo Scoring del rischio residuo da presidiare. IL REPORT ORDINARIO - APPROFONDIMENTI

26 26 1.PREMESSA 2.RESPONSABILITÀ 3.OBIETTIVO 4.RIEPILOGO DELLE ATTIVITÀ SVOLTE 5.LIMITI DEGLI INTERVENTI 6.EVIDENZA DELLE PRINCIPALI CRITICITÀ E VALUTAZIONE DELLA FUNZIONALITÀ DEL COMPLESSIVO SISTEMA DEI CONTROLLI INTERNI 7.PROPOSTA DELLE LINEE GUIDA DEL SUCCESSIVO PIANO DI AUDIT APPROFONDIMENTI QUADRO SINOTTICO DI VALUTAZIONE del S.C.I. (CoSO REPORT) La struttura del documento IL REPORT CONSUNTIVO Ha la finalità di riepilogare le attività svolte dal servizio di Internal Auditing in un determinato periodo di riferimento, aggiornare in merito alla rimozione delle anomalie riscontrate, nonché fornire indicazioni sulla funzionalità complessiva del Sistema dei Controlli Interni.

27 27 Rappresentazione del livello di rischiosità residuale dei processi IL REPORT CONSUNTIVO

28 28 Ha la finalità di valutare le caratteristiche strutturali del Sistema dei Controlli Interni, ovvero l’adeguatezza di quei fattori che assicurano una gestione sana, imparziale e trasparente delle attività aziendali. Le caratteristiche sono:  Rappresentazione per tipologia di processo (governo,mercato,infrastrutturale)  Calcolo automatico del valore associato ai singoli elementi dei fattori qualificanti  Il valore dei singoli elementi è rappresentato dallo scoring corrispondente alla media aritmetica dei Rischi Residui Il quadro sinottico di valutazione del SCI – il CoSO Report IL REPORT CONSUNTIVO

29 29 Il quadro sinottico di valutazione del SCI – la struttura IL REPORT CONSUNTIVO

30 30 Fornisce, per ogni singola verifica, una stampa analitica delle informazioni censite nella maschera “rischio” ovvero i dati richiesti dall’auditor in relazione a: controlli di linea controlli sulla gestione dei rischi attività di internal audit La reportistica – il report di massimo dettaglio LE FUNZIONALITÀ PRINCIPALI


Scaricare ppt "1. 2 Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo”"

Presentazioni simili


Annunci Google