Risk governance and risk-based internal control evaluation in international banks after the banking union. 5 febbraio 2015

Transcript

1 Risk governance and risk-based internal control evaluation in international banks after the banking union 5 febbraio 2015

2 Agenda Le motivazioni e il perimetro di indagine Il campione I principali risultati 2

3 Agenda Le motivazioni e il perimetro di indagine Il campione I principali risultati 3

4 Il percorso di ricerca di SDA Bocconi 2012/2013 Prima Survey su «Internal Governance» 24 banche italiane di diverse dimensioni e 6 banche estere operanti in Italia 2014/2015 Seconda Survey su «Risk governance and riskbased internal control evaluation in international banks after the banking union» Focus su banche italiane coinvolte nel Comprehensive Assessment Comprende due nuove aree: IT Governance e Internal Control Assessment Process Sviluppo in corso su banche estere 4

5 I temi di discussione e le aree di indagine Corporate governance Internal Control System Structure IT Governance Internal Control Assessment Process

6 I temi di discussione e le aree di indagine Struttura e composizione degli organi aziendali Diversity CCO e CRO in CdA Coinvolgimento del CdA nella strategia, risk management, compliance e controlli Macrostruttura del SCI CRO vs. CCO Controlli di linea Organico FAC Piani di sviluppo passati e futuri Coordinamento e integrazione Interdipendenza FAC con funzioni di business Ruolo e impatto sul business del CRO e CCO Strategia e pianificazione Trend tecnologici Performance IS Governance IT rischio e sicurezza Disponibilità Problemi legali Compliance Data governance Funzione responsabile Best practice (COSO/COBIT, etc.) Reporting Strumenti Collegamento con Risk Appetite Framework Periodicità della valutazione

7 Agenda Le motivazioni e il perimetro di indagine Il campione I principali risultati 7

8 Le banche italiane nel campione Banche Italiane Banca Carige Banca Monte dei Paschi di Siena Banca Popolare dell Emilia Romagna Banca Popolare di Milano Banca Popolare di Vicenza Banco Popolare Barclays Bank Credito Emiliano Credito Valtellinese Intesa Sanpaolo Veneto Banca UBI Banca Unicredit 8

9 Agenda Le motivazioni e il perimetro di indagine Il campione I principali risultati 9

10 Area 1 Corporate governance 10

11 Corporate governance Verso un ruolo più incisivo degli organi aziendali Indicazioni puntuali in materia di composizione quali-quantitativa, indipendenza, diversity, competenze e attivismo del CdA a presidio della sana e prudente gestione Nuovi compiti in capo agli organi in materia di risk policy e controlli interni Organizzazione interna degli organi, comitati e flussi informativi Peso crescente e strategico delle funzioni di controllo nell ambito dei processi di governance Importanza dei Comitati come strumento di supporto alla presa di consapevolezza del CdA sui temi più delicati dal punto di vista normativo e di presidio dei conflitti di interesse. Comitato Nomine preposto alla valutazione della composizione ottimale del CdA e al coordinamento del processo di autovalutazione. 11

12 Dimensioni e composizione CdA Dimensioni Le banche del campione hanno in media 17 consiglieri Escludendo le 3 che adottano il modello dualistico, per le quali la media dei consiglieri di sorveglianza è pari a 21, le altre hanno una dimensione media del consiglio di 15,7 membri. Indipendenza Il 62,3% dei componenti del board è considerato indipendente: 90,39% in media con modello dualistico; 100% in un caso 53,64% in media con modello tradizionale. 12

13 Dimensioni e composizione CdA Diversity di genere La presenza di consigliere donne è pari in media al 21,6% del totale La media sale al 23,9% per le banche quotate, contro il 10% delle non quotate In media l 81,37% delle donne è indipendente. In 5 casi, lo è il 100%. In un caso, relativo a una banca non quotata, lo è 1 su 2. Diversity di nazionalità 4 banche hanno in Consiglio consiglieri di nazionalità estera: 6 in Unicredit, 3 in Banca Carige, 1 in Banca MPS e in Intesa Sanpaolo. 13

14 Le funzioni di controllo nei processi di governance In un solo caso, il Chief Risk Officer (CRO) è membro del CdA (Consiglio di Gestione). In un altro caso, lo è il Chief Compliance Officer (CCO). Il numero di consiglieri, diversi dall AD, con esperienza in risk management/compliance/internal audit, è stato indicato da 7 banche. In un caso, sarebbero 18 su 19 (95%), in due casi 9 su 12 (75%), negli altri casi dal 5 al 44%. 14

15 L informativa al CdA in materia di controlli L informativa al CdA e al Comitato Controlli e/o Rischi è frequente e regolare, in genere mensile o trimestrale Gli adempimenti normativi condizionano in modo determinante l agenda degli organi aziendali: un opportunità per rivedere il processo di comunicazione? 15

16 Area 2 Struttura del sistema dei controlli interni 16

17 Struttura del sistema dei controlli interni Sfide poste dalla nuova regolamentazione Indipendenza massima e specializzazione delle funzioni Sviluppo sistemi di controllo su rischio informatico, outsourcing, continuità operativa, etica Coordinamento efficace delle attività di controllo e ricerca di massima efficacia/efficienza Ruolo strategico del risk management con focus sul RAF Cultura del controllo e del rischio sempre più diffusa e pervasiva Integrazione crescente tra attività di controllo e processi gestionali Processi di gestione dei rischi integrati e estesi a tutti i rischi 17

18 L articolazione dei controlli di gruppo Nelle due banche maggiori, tutte le FAC hanno oltre 100 FTE. Le altre si dividono in due gruppi, con una certa coerenza rispetto alle dimensioni complessive Un primo gruppo vede funzioni di audit e di risk management molto sviluppate, con almeno 50 addetti. Nelle altre (7 banche) solo la funzione di audit ha oltre 51 addetti (escluso il caso della banca estera), mentre le altre hanno meno di 50 o addirittura di 25 FTE. In quasi tutte le banche le funzioni sono accentrate in capogruppo. E esclusa una delle banche maggiori e una delle altre grandi, in cui lo è solo la funzione di risk management. N ume ro b a nche p e r FT E d i Grup p o d e d ica te a FA C < >100 Internal Audit Risk Management Compliance Antiricilaggio* * in 1 caso non indicate perché ricomprese nella Funzione Compliance 18

19 L articolazione dei controlli di gruppo Mentre la funzione di Internal Audit riporta nella quasi totalità dei casi direttamente al CdA, le FAC di secondo livello (e in particolare il Risk Management) sono in maggioranza alle dipendenze del CEO (anche nelle banche con dualistico). In 3 casi, anche la Compliance e l AML sono coordinati dal CRO o da un Capo Servizio Rischi. 19

20 Controlli di linea La pervasività dei compiti di controllo e il focus crescente sui controlli di linea sono testimoniati dalla presenza di unità specializzate nelle divisioni di business e dalla crescente automazione di tali controlli, in un ottica di efficienza e flessibilità rispetto alle esigenze del business. In una minoranza di casi (25%) tali unità riportano gerarchicamente alla FAC di gruppo. 20

21 Crescita dell organico e degli investimenti dedicati ai controlli Si conferma la crescita dell organico delle funzioni di controllo. Prosegue altresì lo sforzo di automazione e di formazione, con particolare enfasi sui profili di compliance. Opportunità di raccordo con il RAF per la calibrazione degli investimenti interni in skill e risorse? Va ria zio ne <10 FT E FT E FT E FT E FT E >51 FT E R isk Ma na g e me nt Co mp lia nce Antiricic la gg io Inte rnal Aud it

22 Coordinamento tra funzioni di controllo Il coordinamento dei controlli deve essere formalizzato in un apposito documento approvato dal CdA. Esso è peraltro testimoniato dalla crescente frequenza di incontri e riunioni tra Organi e Funzioni. 22

23 Area 2 Struttura del sistema dei controlli interni FOCUS: COMPLIANCE 23

24 Funzione compliance Post Circolare n. 263 luglio 2013 Nella fotografia a fine 2014, post recepimento dell aggiornamento della Circolare BI n. 263, il disegno della struttura dei controlli interni nel suo complesso è più nitido rispetto a quello rilevato nella precedente ricerca. In questo ambito la Funzione Compliance acquisisce maggiore autonomia e indipendenza; permangono alcuni limitati casi di ambiguità. 24

25 Funzione compliance L interdipendenza tra la funzione Compliance e le altre funzioni aziendali è un aspetto critico ed appare ancora contenuta. La maggiore interazione è evidenziata nell ambito del sistema dei controlli interni (CdA, Internal Audit, Risk Management). Sembra essere ancora limitata l interazione della Funzione Compliance con le altre funzioni manageriali: in particolare è mediamente percepita inferiore a 6,0 l interdipendenza con la Funzione Legale, con la Direzione Commerciale, con i Sistemi informativi. Il valore minimo pari a 4,0 è rilevato con la Funzione Personale. Dal momento che le banche sono imprese di servizi e il Personale rientra tra le componenti essenziali del servizio erogato alla clientela, questo è un segnale cui porre attenzione e da incrociare con altri. 25

26 Il raccordo tra la cultura della compliance e il sistema dei valori in banca La larga maggioranza delle banche appartenenti al campione dichiara che la Cultura della Compliance è stata raccordata con il sistema dei valori attraverso l implementazione dei meccanismi operativi e dei processi organizzativi, pur con alcune differenze. Vi è qualche meccanismo o processo che pone in relazione la Cultura della Compliance con il Sistema dei Valori della Banca? 25% Si No 75% 26

27 Coinvolgimento della Compliance nei processi di HR e di Budget Nello specifico, il coinvolgimento della Funzione Compliance è indicato come rilevante nel disegno del sistema di incentivi (7,42), è ancora limitato nel sistema di remunerazione (6,08) e non del tutto soddisfacente nel processo di budget della banca (5,25), nonostante le responsabilità «regolamentari». Coinvolgimento della Compliance nelle materie di HR e nel Processo di Budget (0-min; 10-max) Coinvolgimento nel Processo di Budget 5,25 Coinvolgimento nel Sistema di Remunerazione 6,08 Coinvolgimento nel Sistema degli Incentivi 7,42 0,00 1,00 2,00 3,00 4,00 5,00 6,00 7,00 8,00 27

28 Area 2 Struttura del sistema dei controlli interni FOCUS: RISK MANAGEMENT 28

29 Risk management Post Circolare n. 263 luglio 2013 Ruolo strategico, per autorevolezza, collocazione organizzativa, poteri di intervento Le Disposizioni di Vigilanza prevedono esplicitamente che alla funzione di governo dei rischi sia attribuita elevata indipendenza, che si concretizzerebbe anche evitando di coinvolgere il CRO in decisioni che comportino l assunzione dei rischi che dovrebbe contribuire a misurare. I temi aperti: In quali processi è maggiormente coinvolto il CRO? Come riesce a condizionare il processo di diffusione della cultura del rischio nell organizzazione degli intermediari? Al CRO si attribuiscono responsabilità di assunzione del rischio? 29

30 Il coinvolgimento del CRO nelle scelte aziendali L analisi mostra come la scelta più rilevante che vede il CRO coinvolto con la massima intensità è quella della definizione e misurazione del risk appetite e risk tolerance, più in generale nelle decisioni che vengono sintetizzate nel RAF. Tutte le aziende del campione si concentrano nelle classi di rilevanza superiori (tra 8 e 10), con il 55% che attribuisce un punteggio massimo a questo ruolo. Rispetto al passato, si nota un maggiore equilibrio nell intervento del CRO sul rischio di credito e sul rischio di mercato. 30

31 Coinvolgimento del CRO nel processo di diffusione della cultura del rischio Con riferimento alla capacità di condizionare il processo di diffusione della cultura del rischio tra le funzioni e gli organi di governo, il CRO/Risk Management appare rilevante per tutto il Top management e il Board, mentre risulta coinvolto con minore intensità nell ambito creditizio e soprattutto della finanza. Va sottolineata una rilevante variabilità dei risultati che mostra l assenza di modelli dominanti. 31

32 Interdipendenza tra risk management e altre funzioni L interdipendenza tra Risk Management e altre Funzioni e Organi aziendali appare ancora da migliorare, in particolare rispetto alla Direzione del Personale. Cresce invece, rispetto al 2012, quella con i Sistemi Informativi. 32

33 CRO, Compliance e assunzione di rischio Nella quasi totalità dei casi il CRO/Risk Manager o la Compliance, pur partecipando ai Comitati, non hanno potere di veto. La loro presenza è peraltro diffusa anche nei Comitati Finanza e Comitati Crediti così come altri comitati rilevanti ai fini del governo del rischio e dei temi di conformità, ma sempre solo con funzioni consultive (salvo in un caso). CRO/Risk Management nei Comitati Co mita to Pre se nza Po te re d i ve to Comitato Controlli 90,91% 11,11% Comitato Rischi (se differente) 85,71% 16,67% Comitato Nuovi Prodotti 81,82% 10,00% Co mp lia nc e ne i Co mita ti Co mita to Pre se nza Po te re d i ve to Comitato Controlli 80,00% 10,00% Comitato Rischi (se differente) 85,71% 16,67% Comitato Nuovi Prodotti 81,82% 9,09% 33

34 Area 3 IT Governance 34

35 IT Governance Sfide poste dalla nuova regolamentazione Enfasi al tema dell IT Governance nella Circolare 263, Capitolo 8 Nuovi compiti in capo agli organi aziendali Migliore strutturazione e formalizzazione dei presidi di controllo su IT I temi aperti: Quale contributo può fornire la IT Governance al controllo e alla misurazione dei rischi? Quali logiche e strumenti sono stati adottati per gestire il governo dei Sistemi Informativi e i loro effetti sui rischi? Quali sono gli aspetti più critici di questo ambito? Quali sono le tendenze e le sfide? 35

36 Il contesto rilevato I piani di sviluppo dei sistemi informativi sono strutturati e oggetto di un processo formale di condivisione con il management, di monitoraggio e di aggiornamento (90% dei casi) Solo un terzo delle banche intervistate ha definito procedure per la diffusione dei principali trend tecnologici all interno dell organizzazione La performance dei sistemi informativi è monitorata strutturalmente con un set specifico di indicatori La gestione dei fornitori di servizi informatici è variegata, ma con una predominanza della delega data ai «tecnici» All interno del CdA non esistono tipicamente persone o comitati specificamente dedicati al tema dell Information Technology 36

37 Il contesto rilevato Solo nel 40% dei casi i CIO e le loro strutture sono direttamente responsabili della IT Governance, che è comunque affidata a ruoli di Top Management (es. COO, VD) Solo il 50% delle banche intervistate effettua regolarmente risk assessment globali (tutta la filiera) sull impiego dell ICT La data quality è un filone in progresso con soluzioni già applicate o in definizione nella totalità delle banche intervistate Tutte le banche, con diversa granularità in termini di approccio, hanno in essere controlli e processi per la mitigazione dei rischi ICT 37

38 Il contesto rilevato Il tema della continuità dei servizi ICT è molto ben identificato e condiviso e gestito (100%). Si rileva qualche criticità sulla coerenza tra continuità dei servizi e policy sui dati. Le implicazioni legali connesse all uso dei SI con particolare riguardo al tema della Privacy sono indirizzate con qualche problema di diffusione verso l organizzazione. La Data Governance è identificata come tema, ma i processi, l approccio metodologico e la strumentazione a supporto sono ancora da definire e affinare in molti contesti aziendali (circa 40%). 38

39 I punti fermi e l outlook Forte delega data alla funzione SI per gestire gli impatti dell ICT con un bilanciamento da parte di funzioni non-ict. Esiste la «dovuta diligenza», ma la parte del lavoro che resta da svolgere per migliorare la copertura dei rischi e, in ultima analisi, la coerenza tra ICT e fabbisogni del business è imponente. Manca attualmente un processo strutturato e integrato al processo decisionale. Il miglioramento su aree come la sicurezza e la qualità dei dati richiede uno sforzo esponenziale per progredire sulla maturity curve; una parte di questo sforzo va concentrato sul coinvolgimento delle funzioni di business. La Risk Governance richiede un aumento consistente dei dati da gestire e da analizzare anche mediante procedure automatiche previsionali. Le funzioni aziendali necessitano inoltre di prospetti di sintesi attendibili e con granularità coerenti con gli impieghi. La 263 prevede il coinvolgimento del CRO nella certificazione della qualità dei dati. L evoluzione del processo in ottica Data Governance e Data Quality è in corso presso molti istituti, in alcuni casi con soluzioni già applicate anche in ottica di convergenza CRO e CFO. 39

40 I punti fermi e l outlook I processi di ICT Risk e Governance degli Outsourcer dovranno essere industrializzati e integrati nelle valutazioni gestionali (es. definizione dei contratti verso clienti banca e verso gli outsourcer) e nei processi RAF. La performance dei sistemi informativi e la gestione dei fornitori ICT non sono sempre collegate ai processi IT e al Business per la necessaria valutazione degli impatti economici. In alcuni casi si sta comunque lavorando in questa direzione. Utilizzando gli stati suggeriti da COBIT 5 (0 incomplete, 1 performed, 2 managed, 3 established, 4 predictable, 5 optimizing) si può affermare che lo stato complessivo dell arte rilevato è intorno al 3-established. Il miglioramento verso 4 e auspicabilmente verso 5 non può essere ottenuto in forma incrementale sia sul fronte degli investimenti che su quello degli approcci, che probabilmente richiederanno una forte discontinuità con quanto fatto sino ad ora. 40

41 Area 4 Processo di valutazione dell adeguatezza dei controlli interni 41

42 Processo di valutazione dell adeguatezza dei controlli interni Sfide poste dalla nuova regolamentazione L organo con funzione di supervisione strategica assicura che il sistema dei controlli e l organizzazione aziendale rispettino i principi e i requisiti normativi, esprimendo annualmente una valutazione sul sistema. I temi aperti: Come avviene il processo di valutazione? Quale è la funzione responsabile? Quali strumenti la supportano? 42

43 La funzione responsabile «La funzione di revisione interna valuta la completezza, l adeguatezza, la funzionalità, l affidabilità delle altre componenti del sistema dei controlli interni, del processo di gestione dei rischi e degli altri processi aziendali, avendo riguardo anche alla capacità di individuare errori ed irregolarità.» Presidi della consistenza dei controlli interni: Qual è la funzione incaricata del processo di valutazione complessiva? Affidabilità Adeguatezza Completezza Funzionalità [VALORE] [VALORE] Internal Audit Comitato Controlli Amministratore Delegato Altro [VALORE] [VALORE] 43

44 Practices in materia di modelli Le esperienze analizzate si suddividono tra il ricorso ai modelli COSO/COBIT - ERM e ad altri modelli, tra i quali programmi interni di assicurazione e miglioramento della qualità (Corporate Quality Assurance Review) che riflettono standard internazionali. Il processo è risk-based. In sintesi, la Funzione di Audit è chiamata ad esprimersi su specifiche variabili connesse alla complessiva attività di audit svolta, avendo riguardo sia ad "aspetti generali" (organizzazione e struttura della Funzione ed impostazione metodologica), sia alla gestione dell'attività medesima (pianificazione, esecuzione, reporting, monitoraggio). 44

45 La comunicazione degli esiti Necessità di fornire l esito del processo di valutazione complessiva attraverso punteggi e formati di tipo quantitativo essendo tali modalità più «parlanti» per il CdA. L approccio che prevale nella valutazione complessiva degli esiti è risk-based. 45

46 Gli strumenti utilizzati Nel 58.3% dei casi, il processo è supportato da strumenti specifici tra i quali: Sistemi informativi (alcuni autoprodotti) che supportano l auditing per l'overview dei risultati e tengono traccia degli interventi condotti dalle singole funzioni di controllo, delle raccomandazioni e delle remediation per processi e per rischi Questionari di self risk assessment, reportistica periodica delle funzioni di controllo, key performance indicator Valutazione per ogni processo del rischio inerente in base alle risultanze delle attività di verifica e della valutazione delle altre funzioni di controllo Tools di supporto al CEO nella rappresentazione di tutti i risultati dei controlli portati avanti da ogni business unit Non emerge da questo punto di vista una Best Practice. 46

47 L integrazione con il RAF Nella maggior parte dei casi, l integrazione non è ancora completa Quando disponibile, il RAF è usato come benchmark per la valutazione del SCI. Raccordo del SCI con il «RISK APPETITE STATEMENT» per definire il RAF come misura dell intensità di calibrazione dello SCI: «approvazione delle linee di indirizzo del SCI verificando che esso sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti, nonché sia in grado di cogliere l evoluzione dei rischi aziendali e l interazione tra gli stessi.» Possibile sviluppo nell uso del RAF come modello di integrazione e interrelazione delle funzioni di controllo 47

48 In sintesi La ricerca evidenzia un disegno più definito del sistema dei controlli e un impegno consistente delle banche per recepire le indicazioni normative. Le innovazioni nel sistema dei controlli paiono fortemente compliance-driven ed è importante che le singole banche riescano a valorizzare i nuovi processi e i risultati raggiunti. Emergono peraltro alcune aree di miglioramento: Meccanismi di governance e di coordinamento ancora da perfezionare (sviluppo competenze degli organi, definizione interazioni e responsabilità tra organi di supervisione, gestione e controllo, integrazione e relazione tra FAC e organi di governo) Qualità e efficacia delle relazioni tra FAC e altre funzioni aziendali (Business, Personale, ) Modelli di integrazione dei rischi e collegamenti tra business, controlli interni e Risk Appetite Framework Strumenti di sintesi e di analisi dei dati da potenziare per rafforzare la risk governance Pervasività e diffusione della cultura del rischio e del controllo quale driver fondamentale per la qualificazione delle scelte strategiche e per il governo degli equilibri gestionali 48

49 Il gruppo di lavoro SDA Bocconi School of Management Paola Schwizer Severino Meregalli Paola Musile Tanzi Giampaolo Gabbi In collaborazione con: Graziella Capellini, NIKE consulting Carolyn Dittmeier, Nedcommunity Ramona Diana Ghica, NIKE consulting Carlo Giaj Levra, NIKE consulting Marco Icardi, SAS Italy Renzo Traversini, SAS Italy Anselmo Marmonti, SAS Italy Walter Ballardin, SAS Italy Coordinamento: Paola Schwizer 49