Commissione Governance COME UTILIZZARE E VALUTARE I FLUSSI INFORMATIVI DA PARTE DELLA FUNZIONE DI INTERNAL AUDIT

Transcript

1 S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Commissione Governance COME UTILIZZARE E VALUTARE I FLUSSI INFORMATIVI DA PARTE DELLA FUNZIONE DI INTERNAL AUDIT Ranieri de Marchis 15 Novembre 2013, Milano, Commissione Governance

2 Agenda I. La normativa bancaria sui flussi informativi dell'attività di audit II. Nuove Disposizioni di Vigilanza Prudenziale di Banca d'italia (agg.to 15 Circ. 263/2006) III. La valutazione del Sistema dei Controlli Interni e la funzione di assurance dell'internal Audit IV. Il Modello di UniCredit e possibili evoluzioni 2

3 S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO La normativa bancaria sui flussi informativi dell'attività di audit

4 Principale normativa bancaria sui flussi informativi dell'attività di audit Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (Banca d'italia, Marzo 2008) I controlli interni nelle Società quotate (Consob, Settembre 2013) Nuove disposizioni di vigilanza prudenziale per le banche (Banca d'italia agg.to 15 Circ. 263/2006) Principles for effective risk data aggregation on risk reporting (BCBS, Gennaio 2013) Regolamento della Banca d'italia e della Consob ai sensi dell'articolo 6 comma 2-bis del testo unico della Finanza (29 Ottobre 2007 Mifid) Standard IIA Thematic review on Risk Governance (FSB, Febbraio2013) 4

5 Principali indicazioni normative sui flussi informativi dell'attività di audit (1/2) La circolazione delle informazioni tra organi / Funzioni è condizione sine qua non per realizzare effettivamente obiettivi di efficienza della gestione ed efficacia dei controlli Le forme di comunicazione e scambio di informazione devono essere: complete tempestive accurate I flussi informativi devono essere adeguati e coerenti rispetto ai diversi livelli di responsabilità dell'organizzazione Disposizioni di vigilanza in materia di organizzazione e governo societario delle banche, Marzo

6 Principali indicazioni normative sui flussi informativi dell'attività di audit (2/2) I flussi informativi sui rischi (risk reporting) hanno assunto una rilevanza molto significativa nella fase di identificazione dei rischi stessi, nel monitoraggio e nella decisione/gestione I flussi informativi devono essere caratterizzati dal giusto mix tra informazioni quantitative e qualitative, nonché da un livello di dettaglio adeguato I Board hanno la responsabilità di definire quali siano i propri requirements per il risk reporting e di comunicare al Management se i risk report non rispettano tali requisiti Principles for effective risk data aggregation on risk reporting (BCBS, Gennaio 2013) Thematic review on Risk Governance (FSB, Febbraio2013) 6

7 S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Nuove disposizioni di vigilanza prudenziale per le banche (Banca d'italia agg.to 15 Circ. 263/2006)

8 Ruolo degli Organi Aziendali (1/3) Organo con funzione di Supervisione Strategica 1 Definisce e approva gli obiettivi di rischio, la soglia di tolleranza e le politiche di governo dei rischi 2 Assicura che l attuazione del Risk Appetite Framework (RAF) sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) approvati; valuta periodicamente l adeguatezza e l efficacia del RAF e la compatibilità tra il rischio effettivo e gli obiettivi di rischio 3 Approva il programma di attività, con cadenza almeno annuale, compreso il piano di audit predisposto dalla funzione di revisione interna, ed esamina le relazioni annuali predisposte dalle funzioni aziendali di controllo. Approva altresì il piano di audit pluriennale. 8

9 Ruolo degli Organi Aziendali (2/3) 1 Definisce e cura l attuazione del processo di gestione dei rischi Organo con funzione Gestione 2 Definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF 3 Pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, l adeguatezza, la funzionalità e l affidabilità del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dell organo con funzione di supervisione strategica 9

10 Ruolo degli Organi Aziendali (3/3) 1 Vigila sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF. Per lo svolgimento delle proprie attribuzioni, tale organo dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo Organo con funzione di Controllo 2 E' tenuto ad accertare l adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e l adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarità rilevate 3 Svolge le funzioni dell'odv 231/2001. Le banche possono affidare tali funzioni a un organismo appositamente istituito fornendone adeguata motivazione 10

11 Quali i possibili impatti per Internal Audit? BANCA D ITALIA ORGANI AZIENDALI INTERNAL AUDIT ALTRE FUNZIONI DI CONTROLLO Ruolo sempre più centrale della Funzione IA nel Sistema dei Controlli Interni Attività rivolta non solo alla verifica del processo di gestione dei rischi ma anche del processo di definizione delle politiche di governo dei rischi Crescente interazione funzionale con le altre componenti di controllo dell impresa Rafforzamento del reporting direzionale verso gli Organi Aziendali e verso la Banca d Italia 11 11

12 S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO La valutazione del Sistema dei Controlli Interni e la funzione di assurance dell'internal Audit

13 La valutazione del Sistema dei Controlli Interni Internal Audit (3 livello) Assurance indipendente sull'idoneità del Sistema di Controlli Interni Funzioni di Controllo (2 livello) Società di Revisione esterna Attività di controllo sulle tipologie di rischio presidiate per competenza Valutazione sul Bilancio di esercizio Organo di Vigilanza 231 Management Attività di vigilanza sull attuazione e tenuta del Modello di organizzazione e gestione ai sensi del D.lgs. 231/2001 Sulla base della propria accountability, self-assessment manageriale dei sistemi e presidi di controllo che insistono sulle proprie attività/business Istituzione e mantenimento di un efficace Sistema dei Controlli da parte dell'amministratore Delegato Valutazione del Sistema dei Controlli da parte del Consiglio di Amministrazione e dell'audit Committee Collegio Sindacale Vigilanza 13

14 La funzione di assurance dell'internal Audit La funzione di assurance dell'internal Audit verso gli Organi Aziendali si esplica attraverso: comunicazione in via diretta dei risultati degli accertamenti e delle valutazioni agli organi aziendali, portando all'attenzione di questi i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi. Sulla base dei risultati dei propri controlli formula raccomandazioni agli organi aziendali predisposizione tempestiva delle relazioni su eventi di particolare rilevanza predisposizione ed invio di relazioni periodiche contenenti adeguate informazioni sulla propria attività, sulle modalità con cui viene condotta la gestione dei rischi nonché sul rispetto dei piani definiti per il loro contenimento trasmissione delle relazioni ai Presidenti del Collegio Sindacale, del Comitato Controllo e Rischi e del Consiglio di Amministrazione nonché all Amministratore Incaricato del Sistema di Controllo Interno e di gestione dei rischi FSB Thematic review on Risk Governance 14

15 S.A.F. SCUOLA DI ALTA FORMAZIONE LUIGI MARTINO Il Modello di UniCredit e possibili evoluzioni

16 Reportistica di Internal Audit PIANIFICAZIONE ESECUZIONE DELLE ATTIVIA' DI INTERNAL AUDIT MONITORING & REPORTING Linee Guida di Gruppo per i Piani Annuali di Audit Piano Annuale di Audit di UniCredit S.p.A. I flussi informativi sono I flussi informativi sono assicurati durante tutte le fasi del ciclo di audit Engagement Reporting: Audit Report (AR): indirizzato principalmente agli auditati e ai diretti responsabili gerarchici Executive Report (ER): estratto dell Audit Report, principalmente indirizzato al Top Management delle Società Internal Audit Activity and Result report (Consolidato + UC SpA): riporta i risultati di audit rilevanti del trimestre in questione. Al termine del quarto trimestre viene preparato lo IAAR annuale, i cui contenuti si riferiscono all intero anno Monthly Management Support Report (Consolidato + UC SpA): aggiornamenti sulla situazione dei rilievi critici al fine di indirizzare le azioni correttive e attivare processi di escalation dati di sintesi relativi alle attività di audit svolte su HO/Processes Relazione annuale sui servizi di investimento (Consob) Relazioni Annuali per banca d'italia, inter alia: sui Sistemi Avanzati di Misurazione dei Rischi di 1 e 2 Pilastro 16

17 Destinatari della reportistica di Internal Audit ORGANI COLLEGIALI ALTRE FUNZIONI DI CONTROLLO Amministratore Delegato e Comitati di Direzione Dirigente Preposto 262/05 Compliance IC&RC Consiglio di Amministrazione INTERNAL AUDIT Collegio Sindacale OdV 231/2001 Altre Funzioni (es. AML ) Risk Management ORGANI ESTERNI DI CONTROLLO Autorità di Vigilanza Società di Revisione Esterna 17

18 Reportistica agli Organi Aziendali Pianificazione Annuale Linee Guida di Gruppo per i Piani Annuali di Audit Piano Annuale di Audit di UC SpA Consiglio di Amministrazione IC&RC Collegio Sindacale Amministratore Delegato e Comitati di Direzione Consiglio di Amministrazione IC&RC Collegio Sindacale Amministratore Delegato e Comitati di Direzione Le Linee Guida forniscono indicazioni di alto livello alle singole Legal Entity del Gruppo evidenziando le principali aree di interesse funzionali alla definizione dei Piani di Audit. In particolare, rappresentano il risultato di un attività di risk mapping che si basa sull identificazione ed analisi dei rischi interni ed esterni al Gruppo. Le Linee Guida vengono definite e trasmesse alle società del Gruppo nel mese di ottobre Il Piano Annuale di Audit di UC SpA viene predisposto in base alle Linee Guida considerando alcuni principali drivers (copertura risk based, attività obbligatorie annuali previste dalle Autorità di Vigilanza o richieste spot da queste ricevute, richieste del Top Management, attività di follow up). Il Piano Annuale di Audit viene approvato dal BoD di UC SpA entro il mese di gennaio 18

19 Reportistica agli Organi Aziendali Execution IC&RC Collegio Sindacale Amministratore Delegato e Comitati di Direzione Superiore Gerarchico dell'auditato v Auditato Società di Revisione Esterna Audit Report Executive Report Audit Report Audit Report Audit Report Ongoing / Engagement Reporting Executive Report Poor Richiesti da Banca d'italia Global Audit Audit Report Poor o Not Satisfactory Richiesti da Banca d'italia Global Audit Executive Report tutti gli Audit report a prescindere dalla valutazione. i risultati vengono preventivamente discussi in sede di exit meeting tutti gli Audit report a prescindere dalla valutazione i risultati vengono preventivamente discussi in sede di exit meeting Oltre alle regole minime previste per la lista di distribuzione dei Report, questa viene valutata e coerentemente ampliata anche in funzione della rilevanza della tematica auditata 19

20 Reportistica agli Organi Aziendali Monitoring & Reporting (1/2) Assemblea Azionisti Consiglio di Amministrazione IC&RC Collegio Sindacale Amministratore Delegato e Comitati di Direzione OdV 231/2001 Autorità di Vigilanza Società di Revisione Esterna Annuale Semestrale Trimestrale Mensile Relazione sulle politiche e sistemi di remunerazione e incentivazione IAAR Annuale Consolidato e UC SpA TO BE Esternaliz. Funzioni Operative e Controllo IAAR Consolidato e UC SpA Relazioni rischi operativi rischi di credito rischi di mercato Monthly Management Support Consolidato e UC SpA IAAR Consolidato e UC SpA ICAAP Monthly Management Support Consolidato e UC SpA IAAR Consolidato e UC SpA Relazione semestrale ex D.lgs 231 Relazione annuale sui servizi di investimento (Consob) Esternaliz. Funzioni Operative e Controllo TO BE IAAR Consolidato e UC SpA invio a Banca d'italia Relazioni rischi operativi rischi di credito rischi di mercato ICAAP Tutta la reportistica periodica è inviata on demand 20

21 Reportistica agli Organi Aziendali Monitoring & Reporting (2/2) Inoltre, nel continuo, è utilizzato un processo informativo denominato BLOG indirizzata al Top Management che circolarizza tempestivamente le informazioni rilevanti relative agli esiti di attività di audit 21

22 Reportistica alle Altre Funzioni di Controllo Le interrelazioni tra le funzioni di controllo di II livello e di III livello si inquadrano nel framework più generale di attiva e costante collaborazione, peraltro formalizzato in specifiche normative/regolamenti interni, realizzandosi prevalentemente: nella partecipazione al processo di definizione e/o aggiornamento della normativa interna in materia di rischi e controlli in flussi informativi tramite scambio documentale o di dati, anche finalizzati alla partecipazione ai Comitati Direzionali e Manageriali, istituiti presso UniCredit S.p.A e ai Gruppi di lavoro su argomenti correlati nella partecipazione ai Comitati Direzionali e Manageriali, istituiti presso UniCredit, da parte dei diversi attori, in via sistematica o a richiesta, nonché a diverso titolo (membro, permanent guest) nella partecipazione a Gruppi di lavoro, di volta in volta costituiti su argomenti correlati alle tematiche dei rischi e dei controlli. 22