REGOLAMENTAZIONE DEL SETTORE FINANZIARIO IN ITALIA Il sistema dei controlli interni Dittmeier, Cap. 4.1.2 BI C. 285, Parte Prima, Titolo IV, Cap. 3 CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Profili generali della normativa Il SCI è un elemento fondamentale del Sistema di Governo delle banche Deve garantire che l’attività aziendale sia in linea con le strategie e le politiche aziendali e sia orientata a criteri di sana e prudente gestione Il SCI deve coprire ogni tipo di rischio aziendale Devono essere chiaramente definiti i compiti e le responsabilità degli organi e delle funzioni aziendali Deve essere applicato il principio di proporzionalità, con riguardo a dimensione, complessità operativa, natura dell’attività svolta, servizi prestati CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Il Sistema dei Controlli Interni (SCI) - 1 Disposizioni di vigilanza della Banca d’Italia (C. 285), per la prima volta in sede nazionale, hanno definito (Cap. 3 del Titolo IV) il Sistema dei Controlli Interni (SCI), che è costituito dall’insieme delle: che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità: Verifica dell’attuazione delle strategie e delle politiche aziendali; Contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework- RAF); Salvaguardia del valore delle attività e protezione dalle perdite; Efficacia ed efficienza dei processi aziendali; Affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche; Prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attività illecite (riciclaggio, usura, finanziamento del terrorismo); Conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.» Regole Strutture Processi Funzioni Risorse Procedure CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Il Sistema dei Controlli Interni (SCI) - 2 Da quanto sopra si deduce il rilievo strategico della cultura del controllo nella scala dei valori aziendali Non deve riguardare solo le funzioni aziendali di controllo, ma coinvolgere tutta l’organizzazione (organi aziendali, strutture, livelli gerarchici, personale) per implementare metodi per identificare, misurare, comunicare e gestire i rischi Per realizzare questo obiettivo, il sistema dei controlli interni deve: Prevedere controlli diffusi ad ogni area operativa e livello gerarchico Garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di livelli appropriati dell’impresa, in grado di attivare tempestivi interventi correttivi Incorporare procedure adeguate per impedire violazione di limiti operativi Assicurare che il processo di gestione dei rischi sia adeguato, funzionale, affidabile (e coerente con il RAF) CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio La struttura del SCI È basata su tre tipi di controllo: 1° livello-Controlli di linea: devono assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture operative: controlli di tipo gerarchico, o da unità dedicate solo ai controlli, oppure nell’ambito del back office quando possibile incorporati nelle procedure informatiche 2° livello-Controlli sui rischi e sulla conformità - affidati a funzioni distinte da quelle operative, che concorrono a definire le politiche di governo dei rischi e al processo di gestione dei rischi - con l’obiettivo di assicurare: La corretta attuazione del processo di gestione dei rischi; Il rispetto dei limiti operativi assegnati alle varie funzioni; La conformità delle operazioni aziendali alle norme, incluse quelle di autoregolamentazione (compliance): protezione dai rischi normativi e reputazionali 3° livello –revisione interna, con l’obiettivo di individuare violazioni delle procedure e della regolamentazione e a valutare il SCI e il sistema informativo (ICT audit), in termini di adeguatezza, completezza, funzionalità, affidabilità CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
I presupposti Presupposto di un SCI completo e funzionale è che tutta l’organizzazione aziendale e il governo societario siano impostati per per: Assicurare la sana e prudente gestione della banca L’osservanza delle disposizioni di settore applicabili Riprendiamo i concetti della lezione precedente CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Principi generali di organizzazione #1 I processi decisionali e le funzioni attribuite al personale devono: - essere formalizzati - consentire la puntuale individuazione di compiti e responsabilità - essere idonei a prevenire i conflitti di interesse garantire la separatezza tra le funzioni operative e le funzioni di controllo La gestione delle risorse umane deve assicurare personale competente e dotato delle professionalità richieste in base alla loro responsabilità Il processo di gestione dei rischi deve essere integrato, tramite: l’adozione di un linguaggio comune a livello aziendale nella gestione dei rischi l’adozione di un’unica mappa dei rischi e di modelli di reportistica dei rischi Il coordinamento per la pianificazione delle rispettive attività La previsione di flussi informativi tra le funzioni sui risultati dei controlli La condivisione nella individuazione delle azioni correttive CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Principi generali di organizzazione #2 I metodi di valutazione delle attività aziendali, anche a fini contabili: devono essere affidabili e integrati con il processo di gestione del rischio la loro definizione e la convalida devono essere affidate a unità differenti La valutazione di uno strumento finanziario deve essere attribuita a un’unità indipendente rispetto a quella che lo negozia Le procedure (operative e di controllo) devono: minimizzare i rischi legati a frodi o infedeltà dei dipendenti Prevenire/mitigare i potenziali conflitti d’interesse Prevenire il coinvolgimento in fatti di riciclaggio, usura o finanziamento del terrorismo Monitoraggio Deve essere verificata regolarmente (almeno annualmente) l’aderenza ai requisiti del sistema dei controlli interni e dell’organizzazione CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Organo di supervisione strategica - 1 Definisce e approva: Il modello di business, tenendo conto dei rischi cui tale modello espone la banca e delle modalità con le quali tali rischi sono rilevati e valutati Gli indirizzi strategici, e provvede al loro riesame periodico, in base all’evoluzione del contesto esterno e dell’attività aziendale Gli obiettivi di rischio, la soglia di tolleranza, e le politiche di governo dei rischi Gli indirizzi del sistema dei controlli interni, verificando la loro coerenza con gli indirizzi strategici e la propensione al rischio fissati, e sia capace di rilevare l’evoluzione dei rischi aziendali e la loro interazione I criteri per individuare le operazioni di maggiore rilievo da sottoporre a verifica preventiva della funzione «controllo rischi» CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Organo di supervisione strategica - 2 Approva: La costituzione delle funzioni aziendali di controllo, i relativi compiti e responsabilità, modalità di collaborazione e coordinamento, flussi informativi tra tali funzioni e tra queste e gli organi aziendali Il processo di gestione del rischio e ne valuta la compatibilità con gli indirizzi strategici e le politiche di governo dei rischi Le politiche e i processi di valutazione delle attività aziendali, in particolare degli strumenti finanziari, verificando costantemente l’adeguatezza I limiti massimi dell’esposizione della banca verso prodotti finanziari di difficile valutazione Il processo e lo sviluppo dei sistemi di misurazione dei rischi non utilizzati a fini regolamentari, e ne valuta periodicamente il corretto funzionamento Il processo per l’offerta di nuovi prodotti e servizi, l’inserimento in nuovi mercati, l’avvio di nuove attività La politica in materia di esternalizzazione di funzioni aziendali Il codice etico al quale si devono uniformare i componenti degli organi aziendali e i dipendenti (deontologia professionale e rapporti con i clienti) I sistemi interni di segnalazione delle violazioni CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Organo di supervisione strategica - 2 Assicura: La coerenza della struttura con l’attività svolta e con il modello di business adottato Il sistema dei controlli interni e l’organizzazione aziendale siano uniformati ai principi suindicati e che le funzioni di controllo possiedano i requisiti e rispettino le previsioni che saranno specificate (dia …) L’attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza approvati La coerenza del piano strategico con il RAF, l’ICAAP, i budget e il SCI, tenendo presente l’evoluzione del contesto interno ed esterno L’entità e l’allocazione dei capitale e della liquidità siano commisurati alla propensione al rischio, alle politiche di governo dei rischi e al processo di gestione dei rischi Con cadenza almeno annuale approva il piano di attività, compreso il piano di audit predisposto dalla funzione di revisione interna, ed esamina le relazioni annuali prodotte dalle funzioni di controllo CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Organo con funzione di gestione Deve avere la comprensione di tutti i rischi aziendali, inclusi i rischi di malfunzionamento dei sistemi interni di misurazione (rischio di modello) Individua e valuta i fattori da cui possono derivare rischi per la banca, inclusa la complessità della struttura organizzativa Cura l’attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall’organo di supervisione strategica Adotta tutti gli interventi occorrenti per l’aderenza dell’organizzazione e del SCI ai requisiti previsti, monitorandone il rispetto nel continuo Cura l’attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali (outsourcing) Assicura la gestione delle informazioni (corretta tempestiva e sicura) a fini gestionali, contabili e di reporting Stabilisce limiti operativi all’assunzione di varie tipologie di rischio Cura la diffusione a tutti i livelli della cultura del rischio Esamina le operazioni principali oggetto di parere negativo da parte del «controllo rischi» CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Organo con funzione di controllo Deve vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del SCI e del RAF Cioè sul rispetto dei principi che seguono, sui principi generali prima esposti, e sul processo ICAAP Di norma svolge le funzioni dell’Organismo di Vigilanza ex L. 231/2001, in materia di responsabilità amministrativa degli enti, e quindi vigila sul funzionamento e l’osservanza dei modelli di organizzazione e gestione di cui si dota la banca per prevenire i reati rilevanti (possono istituire un Organismo apposito fornendo motivazione) Deve accertare l’adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il loro corretto funzionamento e coordinamento, promuovendo eventuali interventi correttivi CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Coordinamento delle funzioni di controllo - 1 Per il corretto funzionamento del sistema dei controlli interni deve esserci una valida interazione fra gli organi aziendali nell’esercizio dei compiti (di indirizzo, di attuazione, di verifica, di valutazione), le funzioni di controllo e i revisori legali Compiti di controllo sono attribuiti anche a funzioni diverse dagli organi aziendali di controllo, quali: l’Organismo di vigilanza ex D. Lgs. 231/2001 Per le quotate, il Dirigente preposto alla redazione dei documenti contabili societari (deve impiantare procedure amministrative e contabili atte alla predisposizione del bilancio e delle comunicazioni a carattere finanziario) Il Codice di autodisciplina di Borsa Italiana: indica principi e criteri applicativi per il sistema di controllo interno e di gestione dei rischi prevede la designazione di uno o più amministratori incaricati del sistema di controllo interno e di gestione dei rischi L’istituzione in seno all’organo amministrativo di un Comitato e Controllo rischi CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Coordinamento delle funzioni di controllo - 2 L’organo di supervisione strategica definisce con apposito documento nel quale definisce compiti e responsabilità dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e le modalità di coordinamento e di collaborazione Ad es. l’Organismo di vigilanza, che vigila sull’adempimento di leggi e regolamenti, deve raccordarsi (condivisione di informazioni) con le funzioni di conformità (compliance) e di revisione interna In ogni caso, non devono essere alterate le responsabilità primarie degli organi aziendali sul sistema dei controlli interni CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Le funzioni aziendali di controllo -1 Istituzione La banche devono istituire funzioni di controllo permanenti e indipendenti: Di conformità alle norme (compliance) Di controllo dei rischi (risk management) Di revisione interna (internal audit) Controlli di 2° livello Controlli di 3° livello CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Le funzioni aziendali di controllo -2 Indipendenza - 1 Autorità, risorse e competenze per svolgere i compiti assegnati Programmi di formazione nel continuo e rotazione tra le funzioni aziendali di controllo Accesso ai dati aziendali ed esterni, a consulenti esterni I responsabili Hanno requisiti professionali adeguati Sono collocati in posizione gerarchico-funzionale adeguata: il capo dell’Internal audit riporta sempre all’organo di supervisione strategica, i capi del risk management e della compliance riportano all’organo di gestione o di supervisione strategica Non sono responsabili di aree operative sottoposte a controllo e non sono subordinati gerarchicamente a tali aree Sono nominati e revocati dall’organo di supervisione strategica, sentito l’organo di controllo Riferiscono direttamente agli organi aziendali: i capi del risk management e della compliance hanno accesso diretto all’organo di supervisione strategica e all’organo di controllo, senza restrizioni o intermediazioni Il capo della revisione interna ha accesso diretto all’organo di controllo senza restrizioni o intermediazioni CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Le funzioni aziendali di controllo -3 Indipendenza – 2 Il personale che partecipa alle funzioni aziendali di controllo non è coinvolto nelle attività che è preposto a controllare Le funzioni aziendali di controllo sono separate sul piano organizzativo; ruoli e responsabilità sono formalizzati La revisione interna (3° livello) deve sottoporre a verifiche periodiche le funzioni compliance e risk management, per assicurare l’imparzialità delle verifiche, quindi non può svolgere quelle funzioni In base al principio di proporzionalità, le funzioni di risk management e di compliance possono essere affidate a un’unica struttura Affidare all’esterno le funzioni di controllo aziendale (outsourcing) CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Programmazione e rendicontazione delle attività di controllo - 1 Per ogni attività di controllo la regolamentazione interna deve indicare: Responsabilità Compiti Modalità operative Flussi informativi Programmazione dell’attività di controllo CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Programmazione e rendicontazione delle attività di controllo - 2 La funzione di compliance e di risk management presentano agli organi aziendali un programma di attività, in cui sono valutati i principali rischi a cui la banca è esposta e sono programmati i necessari interventi di gestione La funzione di revisione interna presenta agli organi aziendali un piano di audit, tenendo conto dei rischi, con una specifica sezione sull’attività di revisione del sistema informativo (ICT auditing) Le funzioni aziendali di controllo: Presentano agli organi aziendali una relazione sull’attività svolta, illustrando le verifiche effettuate, i risultati emersi, le criticità rilevate e proponendo gli interventi da adottare per la loro rimozione Riferiscono sulla completezza, affidabilità, funzionalità del sistema dei controlli interni, ognuno per la propria parte ALL’INIZIO DEL CICLO GESTIONALE ALLA FINE DEL CICLO GESTIONALE : Se rilevanti, le violazioni o carenze riscontrate vanno segnalate tempestivamente (ai fini di sanzioni legali, perdite patrimoniali, danni di reputazione, buchi nelle procedure, …) CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Requisiti specifici delle funzioni aziendali di controllo CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
FUNZIONE DI COMPLIANCE - 1 Il rischio di «non conformità» alle norme è quello di subire sanzioni giudiziarie o amministrative, rilevanti perdite finanziarie o danni di reputazione a seguito di violazioni di norme imperative (leggi, regolamenti) o di autoregolamentazione (statuto, codice di condotta, codice di autodisciplina) La funzione di compliance, con un approccio risk based deve gestire il rischio di non conformità per tutta l’attività aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio e tutto il personale sia responsabilizzato (antiriciclaggio, usura) A tal fine deve avere accesso a tutte le attività della banca e alle informazioni rilevanti CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
FUNZIONE DI COMPLIANCE - 2 ADEMPIMENTI COLLABORA CON LE STRUTTURE AZIENDALI PER DEFINIRE I METODI DI VALUTAZIONE DEI RISCHI DI NON CONFORMITÀ ALLE NORME INDIVIDUA LE PROCEDURE IDONEE PER PREVENIRE IL RISCHIO RILEVATO E NE CHIEDE L’ADOZIONE; VERIFICA LA LORO ADEGUATEZZA E CORRETTA APPLICAZIONE IDENTIFICA NEL CONTINUO LE NORME APPLICABILI ALLA BANCA E VALUTA IL LORO IMPATTO SUI PROCESSI E LE PROCEDURE AZIENDALI PROPONE LE MODIFICHE ORGANIZZATIVE PER PRESIDIARE I RISCHI DI NON CONFORMITÀ PREDISPONE FLUSSI INFORMATIVI AGLI ORGANI AZIENDALI E ALLE STRUTTURE INTERESSATE (ES. REVISIONE INTERNA) VERIFICA DELL’EFFICACIA DEGLI ADEGUAMENTI ORGANIZZATIVI SUGGERITI (ES. PROCEDURE OPERATIVE E COMMERCIALI) PER LA PREVENZIONE DEL RISCHIO DI NON CONFORMITÀ ALLE NORME CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
FUNZIONE DI COMPLIANCE - 3 RESPONSABILITÀ -1 LA FUNZIONE DI COMPLIANCE È DIRETTAMENTE RESPONSABILE DELLA GESTIONE DEL RISCHIO DI NON CONFORMITÀ PER LE NORME CONCERNENTI: L’ESERCIZIO DELL’ATTIVITÀ BANCARIA E DI INTERMEDIAZIONE LA GESTIONE DEI CONFLITTI DI INTERESSE LA TRASPARENZA NEI RAPPORTI CON LA CLIENTELA (TUTELA DEL CONSUMATORE) E, IN VIA RESIDUALE, LE NORME PER LE QUALI NON SIANO PREVISTI PRESIDI SPECIALIZZATI ALL’INTERNO DELLA BANCA CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
FUNZIONE DI COMPLIANCE - 4 RESPONSABILITÀ – 2 LA RESPONSABILITÀ DELLA FUNZIONE DI COMPLIANCE PUÒ ESSERE GRADUATA PER LE ALTRE NORMATIVE PER LE QUALI SIANO PREVISTI PRESIDI SPECIALIZZATI (IGIENE E SICUREZZA SUL LAVORO, NORMATIVA SULLA PRIVACY, NORMATIVA FISCALE APPLICABILE ALLA BANCA, PREVENZIONE DEI RISCHI DA OPERAZIONI FIDCALMENTE IRREGOLARI COMPIUTI DALLA CLIENTELA) COMUNQUE LA FUNZIONE DI COMPLIANCE RESTA RESPONSABILE, COLLABORANDO CON LE FUNZIONI SPECIALISTICHE INCARICATE: PER DEFINIRE I METODI DI VALUTAZIONE DEL RISCHIO DI NON CONFORMITÀ E LE RELATIVE PROCEDURE PER VALUTARE L’ADEGUATEZZA DELLE PROCEDURE MEDESIME A PREVENIRE IL RISCHIO DI NON CONFORMITÀ CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
FUNZIONE DI COMPLIANCE - 5 ALTRI ADEMPIMENTI ALTRE AREE DI INTERVENTO: COINVOLGIMENTO NELLA VALUTAZIONE EX ANTE DELLA CONFORMITÀ DI TUTTI I PROGETTI INNOVATIVI (ES. NUOVI PRODOTTI/SERVIZI) COINVOLGIMENTO NELLA PREVENZIONE E NELLA GESTIONE DEI CONFLITTI DI INTERESSE (DELLE ATTIVITÀ, DEGLI ESPONENTI AZIENDALI, DEI DIPENDENTI) CONSULENZA E ASSISTENZA AGLI ORGANI AZIENDALI NELLE MATERIE OVE È PRESENTE IL RISCHIO DI NON CONFORMITÀ COLLABORAZIONE NELLA FORMAZIONE DEL PERSONALE PER DIFFONDERE NELLA CULTURA AZIENDALE PRINCIPI (ETICI) DI CORRETTEZZA E RISPETTO DELLE NORME CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di controllo dei rischi (Risk management) -1 MISSION COLLABORA ALLA DEFINIZIONE E ALL’ATTUAZIONE DEL RAF E DELLE POLITICHE DI GOVERNO DEI RISCHI, ATTRAVERSO IL PROCESSO DI GESTIONE DEI RISCHI PUÒ ESSERE ARTICOLATA IN BASE AI SINGOLI PROFILI DI RISCHIO (DI CREDITO, DI MERCATO, OPERATIVO, …) È DISTINTA DALLE FUNZIONI ADDETTE ALLA GESTIONE OPERATIVA DEI RISCHI, CIOÈ DALLE UNITÀ DI BUSINESS CHE CON LE LORO OPERAZIONI ASSUMONO I RISCHI MA ALLO STESSO TEMPO NON DEVE ESSERE DISTANTE DAL CONTESTO OPERATIVO (CON IL QUALE DEVE AVERE UNA INTERAZIONE CRITICA) NÉ PUÒ ESSERE DEPOTENZIATA DALLA PRESENZA DI SPECIFICI COMITATI (PER I RISCHI DI CREDITO, PER I RISCHI OPERATIVI, COMITATO DI LIQUIDITÀ, COMITATO FINANZA, COMITATO PER L’ASSET & LIABILITY MANAGEMENT, ..) CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di controllo dei rischi (Risk management) -2 ADEMPIMENTI - 1 E’ COINVOLTA NELLA DEFINIZIONE DEL RAF, DELLE POLITICHE DI GOVERNO DEI RISCHI, NEL PROCESSO DI GESTIONE DEI RISCHI, NELLA FISSAZIONE DEI LIMITI OPERATIVI ALL’ASSUNZIONE DEI VARI TIPI DI RISCHIO VERIFICA NEL CONTINUO L’ADEGUATEZZA DEL PROCESSO DI GESTIONE DEI RISCHI E DEI LIMITI OPERATIVI PROPONE I PARAMETRI QUALI-QUANTITATIVI NECESSARI PER LA DEFINIZIONE DEL RAF, CHE DEVONO ESSERE RIFERITI ANCHE A SCENARI DI STRESS VERIFICA L’ADEGUATEZZA DEL RAF DEFINISCE PARAMETRI COMUNI DI VALUTAZIONE DEI RISCHI OPERATIVI COERENTI CON IL RAF (COORDINANDOSI CON LE FUNZIONI COMPLIANCE, ICT E LA FUNZIONE DI CONTINUITÀ OPERATIVA) DEFINISCE MODALITÀ DI VALUTAZIONE E CONTROLLO DEI RISCHI REPUTAZIONALI COADIUVA GLI ORGANI AZIENDALI NELLA VALUTAZIONE DEL RISCHIO STRATEGICO, MONITORANDO LE VARIABILI IMPORTANTI CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di controllo dei rischi (Risk management) -3 ADEMPIMENTI - 2 ASSICURA LA COERENZA DEI SISTEMI DI MISURAZIONE E CONTROLLO DEI RISCHI CON I METODI DI VALUTAZIONE DELLE ATTIVITÀ AZIENDALI SVILUPPA E APPLICA INDICATORI CAPACI DI EVIDENZIARE SITUAZIONI DI ANOMALIA E DI INEFFICIENZA DEI SISTEMI DEI MISURAZIONE E CONTROLLO DEI RISCHI VERIFICA CHE SIANO SVOLTI PUNTUALMENTE I CONTROLLI ANDAMENTALI SULLE SINGOLE ESPOSIZIONI CREDITIZIE ANALIZZA I RISCHI DEI NUOVI PRODOTTI/SERVIZI E DELL’INGRESSO IN NUOVE AREE OPERATIVE E/O DI MERCATO FORNISCE PARERI PREVENTIVI SULLA COERENZA CON IL RAF DELLE OPERAZIONI DI MAGGIORE RILIEVO MONITORA NEL CONTINUO IL RISCHIO EFFETTIVO ASSUNTO DALLA BANCA E LA SUA COERENZA CON GLI OBIETTIVI DI RISCHIO VERIFICA LE MISURE PRESE PER SANARE LE CARENZE RISCONTRATE NEL PROCESSO DI GESTIONE DEI RISCHI CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di revisione interna (Internal Audit) - 1 MISSION - 1 L’IA: CONTROLLA (3° LIVELLO) IL REGOLARE ANDAMENTO DELL’OPERATIVITÀ E L’EVOLUZIONE DEI RISCHI, ANCHE CON ISPEZIONI IN LOCO VALUTA IL COMPLESSIVO SISTEMA DEI CONTROLLI INTERNI (SCI), OSSIA LA STRUTTURA ORGANIZZATIVA E LE ALTRE COMPONENTI DEL SCI, QUANTO A COMPLETEZZA, ADEGUATEZZA, FUNZIONALITÀ E AFFIDABILITÀ VALUTA L’EFFICACIA DEL PROCESSO DI DEFINIZIONE DEL RAF, LA SUA COERENZA INTERNA E LA CONFORMITÀ DELL’OPERATIVITÀ AZIENDALE AL RAF EFFETTUA TEST PERIODICI SUL FUNZIONAMENTO DELLE PROCEDURE OPERATIVE E DI CONTROLLO INTERNO CONTROLLA IL PIANO AZIENDALE DI CONTINUITÀ OPERATIVA, VISIONANDO I PROGRAMMI DI VERIFICA, ASSISTENDO ALLE PROVE E CONTROLLANDO I RISULTATI CONTROLLA I PIANI DI CONTINUITÀ OPERATIVA DEI FORNITORI CRITICI CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di revisione interna (Internal Audit) - 2 MISSION – 2 COLLABORA E SCAMBIA INFORMAZIONI CON I REVISORI ESTERNI, IN CASO DI CRITICITÀ EMERSE NEL CORSO DELLA REVISIONE, SI ADOPERA AFFINCHÉ LE COMPETENTI FUNZIONI AZIENDALI SI ATTIVINO PER SUPERARE TALI CRITICITÀ SOTTOPONE A VERIFICA LE FUNZIONI DI I) CONTROLLO RISCHI E II) DI CONFORMITÀ CON RIFERIMENTO ALLA GESTIONE DEI RISCHI L’IA VALUTA: L’ASSETTO DELL FUNZIONE DI CONTROLLO RISCHI (ORGANIZZAZIONE, POTERI, RESPONSABILITÀ) L’ADEGUATEZZA DELLE IPOTESI UTILIZZATE NELLE ANALISI DI SENSITIVITÀ E DI SCENARIO E NEGLI STRESS TEST L’ADERENZA ALLE BEST PRACTICES DIFFUSE NEL SETTORE NELLO SVOLGIMENTO DEI PROPRI COMPITI L’IA DEVE TENERE CONTO DI QUANTO PREVISTO DAGLI STANTARD PROFESSIONALI COMUNEMENTE ACCETTATI CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Funzione di revisione interna (Internal Audit) - 2 VERIFICHE SULLA REGOLARITÀ DELLE DIVERSE ATTIVITÀ AZIENDALI E L’EVOLUZIONE DI RISCHI SIA NELLA SEDE CENTRALE CHE NELLE FILIALI (ISPEZIONI PERIODICHE E ISPEZIONI AD HOC, CON RIGUARDO A FATTI SPECIFICI) MONITORAGGIO DELLA CONFORMITÀ ALLE NORME DELL’ATTIVITÀ A TUTTI I LIVELLI AZIENDALI RISPETTO DEI LIMITI PREVISTI DAL SISTEMA DELLE DELEGHE EFFICACIA DEL «CONTROLLO RISCHI» NEL FORNIRE PARERI PREVENTIVI SULLA COERENZA CON IL RAF DELLE OPERAZIONI DI MAGGIOR RILIEVO VALIDITÀ DEI METODI DI VALUTAZIONE DELLE ATTIVITÀ AZIENDALI, IN PARTICOLARE DEGLI STRUMENTI FINANZIARI NELLA VESTE DI ICT AUDIT, L’AFFIDABILITÀ E LA SICUREZZA DEL SISTEMA INFORMATIVO LA RIMOZIONE DELLE ANOMALIE RISCONTRATE NELL’OPERATIVTÀ E NEL FUNZIONAMENTO DEI CONTROLLI (FOLLOW UP) CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio Rapporti tra le funzioni aziendali di controllo e altre funzioni aziendali LE FUNZIONI AZIENDALI DI CONTROLLO COLLABORANO TRA LORO E CON LE ALTRE FUNZIONI (FUNZIONE LEGALE, ORGANIZZAZIONE, SICUREZZA), AL FINE DI SVILUPPARE METODI DI CONTROLLO COERENTI CON LE STRATEGIE E L’OPERATIVITÀ AZIENDALE LE RESPONSABILITÀ E I COMPITI DELLE DIVERSE FUNZIONI DEVONO ESSERE COMUNICATE ALLE STRUTTURE AZIENDALI, DATE LE FORTI INTERRELAZIONI TRA DI LORO (COMPLIANCE, CONTROLLO RISCHI OPERATIVI, REVISIONE INTERNA) LE FUNZIONI DI COMPLIANCE E DI CONTROLLO RISCHI INFORMANO IL RESPONSABILE DELL’AUDIT DELLE CRITICITÀ RILEVATE LA FUNZIONE DI AUDIT INFORMA LE ALTRE FUNZIONI DI CONTROLLO PER LE INEFFICIENZE, PUNTI DI DEBOLEZZA O IRREGOLARITÀ EMERSE NELLE AREE DI COMPETENZA DELLE SECONDE CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Il sistema informativo È COSTITUITO DA: RISORSE UMANE E TECNOLOGICHE (HARDWARE, SOFTWARE, DATI, DOCUMENTI ELETTRONICI, RETI TELEMATICHE) È UNO STRUMENTO CRUCIALE PER GLI OBIETTIVI STRATEGICI E OPERATIVI: PER IL CONSEGUIMENTO DEGLI OBIETTIVI STRATEGICI, IN QUANTO CONSENTE DI AMPLIARE E MIGLIORARE LA GAMMA DI PRODOTTI/SERVIZI, DI FAVORIRE LA DEMATERIALIZZAZIONE DEI VALORI, DI VIRTUALIZZARE I SERVIZI BANCARI PERCHÉ CONSENTE AL MANAGEMENT DI «CONOSCERE PER DECIDERE» E DI GESTIRE I RISCHI IN MODO CORRETTO PER CONTENERE IL RISCHIO OPERATIVO*, CHE DIPENDE DALLA FUNZIONALITÀ DEI PROCESSI E DEI CONTROLLI AUTOMATIZZATI, A BENEFICIO DELL’ATTIVITÀ INTERNA E DEI SERVIZI FORNITI AI CLIENTI (SI PENSI AI RISCHI ASSUNTI NELLA PRESTAZIONE DEI SERVIZI DI PAGAMENTO TRAMITE IL CANALE INTERNET) PER LA COMPLIANCE, PERCHÉ DEVE REGISTRARE, CONSERVARE E RAPPRESENTARE I FATTI DI GESTIONE RILEVANTI PER LE NORME INTERNE ED ESTERNE (ES. ARCHIVIO «ANTIRICICLAGGIO») *Basilea: ’’il rischio di perdite derivanti dalla inadeguatezza o dalla disfunzione di procedure, risorse umane e sistemi interni, oppure da eventi esogeni’’. CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
Livelli di continuità operativa Deve essere definito un piano di continuità operativa per gestire le situazioni di crisi derivanti da incidenti di portata settoriale, aziendale o catastrofi estese (disaster recovery) che colpiscono l’operatore o sue controparti rilevanti (sistemi di regolamento, compensazione e garanzia, clienti, fornitori, mercati finanziari) Il piano di continuità operativa rientra nella complessiva politica di governo dei rischi e deve considerare le debolezze esistenti nei sistemi e le misure preventive previste per garantire il conseguimento degli obiettivi aziendali I fattori di rischio da prendere in considerazione diversi scenari di crisi: Distruzione o inaccessibilità delle strutture in cui si trovano unità operative o apparecchiature critiche Indisponibilità di sistemi informatici critici o del personale essenziale per i processi aziendali Interruzione nel funzionamento di infrastrutture vitali (energia elettrica, reti di telecomunicazione, reti interbancarie, mercati finanziari) Alterazione o perdita di dati e documenti critici Il piano di continuità operativa deve indicare le procedure per il rientro dall’emergenza CdL Magistrale in Economia Manageriale - prof. Giuseppe Riccio
fine