XIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING

Transcript

1 XIX CONVEGNO NAZIONALE DI INFORMATION SYSTEMS AUDITING Firenze 19, 20 maggio 2005 I QUATTRO SCENARI DELL IT AUDITING Ruolo dell Auditor e del Compliance Officer Claudio Cola

2 RISCHIO OPERATIVO E il rischio di perdite derivanti da inadeguati o errati processi interni, persone e sistemi o da eventi esterni. Questa definizione include il rischio legale, mentre esclude il rischio strategico, il rischio reputazionale ed il rischio sistemico.

3 RISCHIO LEGALE Rischio di perdita o riduzione di valore delle attività di portafoglio, a causa di contratti o documenti legali inadeguati o non corretti, o contenenti clausole che si rivelino particolarmente onerose. RISCHIO LEGALE E RISCHIO COMPLIANCE Non sono la stessa cosa

4 RISCHIO COMPLIANCE E il rischio di sanzioni legali o amministrative, perdite finanziarie o di reputazione conseguenti alla mancata osservanza di leggi, regolamenti, codici di condotta e procedure (laws, rules and standards) La Deontologia è di norma inclusa nel rischio Compliance

5 PECULIARITA DEL RISCHIO COMPLIANCE E un rischio anche reputazionale, di immagine e strategico trasversale all organizzazione E un rischio da affrontare ex ante, attraverso l individuazione, la valutazione, il monitoraggio, il reporting, sulla conformità a leggi, regolamenti e procedure

6 RISCHI: COMPLIANCE E OPERATIVO Il rischio Operativo ha per oggetto perdite derivanti da inadeguati o errati processi interni, persone e sistemi o da eventi esterni. Il rischio Compliance ha per oggetto perdite anche reputazionali conseguenti alla mancata o non corretta applicazione di leggi, regolamenti, procedure e codici di condotta Rischio Compliance Rischio Operativo

7 RELAZIONE TRA COMPLIANCE E AUDIT Il rischio Compliance dovrebbe essere incluso nella metodologia di risk assessment dell Internal Audit, e andrebbe realizzato un programma di Audit che verifichi l adeguatezza e l efficacia delle attività della funzione Compliance, includendo test di controllo commisurati al livello di rischio percepito. Basel Committee on Banking Supervision Compliance and the compliance function in banks April 2005

8 RELAZIONE TRA COMPLIANCE E AUDIT La funzione Compliance e la funzione di Audit dovrebbero essere separate, così da assicurare che le attività della funzione Compliance siano soggette ad un esame indipendente. E importante, dunque, che ci sia una chiara comprensione nella banca sulla ripartizione delle attività di risk assessment e delle attività di verifica e che ciò sia documentato. Basel Committee on Banking Supervision Compliance and the Compliance function in banks April 2005

9 INTERAZIONE TRA RUOLI: COMPLIANCE OFFICER E INTERNAL AUDITOR Le due funzioni di staff sono entrambe indipendenti e autonome rispetto al vertice operativo Compliance e Audit sono tra loro indipendenti ma collaborano strettamente nelle rispettive aree di intervento anche ex ante nella individuazione dei rispettivi piani di azione La Compliance supporta l Audit nella valutazione dei processi di controllo delle attività aziendali

10 INTERAZIONE TRA COMPLIANCE E INTERNAL AUDIT La Compliance ha il compito di monitorare di norma ex ante, all Audit spetta il compito di effettuare un controllo periodico di norma ex post. Entrambe le funzioni svolgono interventi tra loro complementari finalizzati a rendere più efficaci i sistemi di Risk Management e di controllo.

11 INTERAZIONE TRA COMPLIANCE E INTERNAL AUDIT La Funzione Compliance è sottoposta a periodica verifica da parte dell Audit. La Funzione di Audit deve tenere informato il responsabile della Compliance delle risultanze dei controlli effettuati sulla Compliance.

12 PERCHE E CRUCIALE IL RISCHIO COMPLIANCE Le regole di condotta efficaci negli attuali contesti competitivi non nascono dalle leggi ma derivano in misura sempre crescente da standard e procedure aziendali (best practices) Il rispetto delle regole diviene una attività complessa dove aspetti di mercato, economici, legali e aziendali confluiscono in un rischio che assume la definizione di Compliance Risk

13 QUALE E IL RUOLO COMPLIANCE Assistere e relazionare i vertici aziendali nelle materie a rischio Compliance Identificare, valutare, proporre e monitorare le situazioni a rischio Compliance Promuovere e diffondere una cultura della legalità e di attenzione costante al rispetto delle regole (anche con programmi di formazione delle risorse umane) E in sostanza un ruolo proattivo, finalizzato ad evitare la violazione delle regole ed a trovare soluzioni efficaci

14 ASPETTI ORGANIZZATIVI NELLA GESTIONE DEL RISCHIO LEGALE INTERNAL AUDIT COMPLIANCE AREE OPERATIVE RISK MANAGEMENT OPERATIONAL RISK

15 MISSIONE FUNZIONE COMPLIANCE CONSULENZA E ASSISTENZA (nuovi prodotti, policy, rapporti autorità ) TRAINING RISORSE UMANE (nuove normative, best practices, policy..) SUPERVISIONE E MONITORAGGIO (leggi, procedure, transazioni..)

16 COME ORGANIZZARE UNA FUNZIONE COMPLIANCE Va formalizzata attribuendole un ruolo definito nell organigramma aziendale ed assicurando che la funzione sia: Indipendente Affidata ad un Responsabile Strutturata in modo adeguato ai compiti assegnati Con ampi poteri di accedere alle informazioni e ai collaboratori per poter far fronte alle proprie responsabilità

17 ORGANIZZAZIONE DELLA FUNZIONE COMPLIANCE E OUTSOURCING La Compliance è una attività centrale del risk Management all interno della banca. Specifici compiti possono essere dati in outsourcing, ma debbono rimanere soggetti ad una appropriata supervisone del responsabile Compliance. La responsabilità Compliance resta comunque in capo alla banca.

18 Quali materie comprendere nella Funzione Compliance (esemplificazione) Corporate Governance Deontologia Prevenzione insider trading Antiriciclaggio e prevenzione frodi Transazioni in prodotti finanziari (trasparenza, integrità dei mercati) ivi comprese quelle effettuate dai collaboratori per proprio conto Prevenzione manipolazione corsi Modello organizzativo Privacy e sicurezza Conflitti di interesse

19 GESTIONE INTEGRATA RISCHIO COMPLIANCE RICICLAGGIO TERRORISMO FRODI FRODI STATUTO SISTEMA POTERI BANCA d ITALIA CONSOB BORSA CONSIGLIO DI AMMINISTRAZIONE SICUREZZA AMBIENTE PRIVACY D.lgs. D.lgs. 231/2001 E MODELLO ORGANIZZATIVO MARKED ABUSE CONFLITTO di di INTERESSI

20 PROCESSO/CICLO COMPLIANCE Asses impact Design Processes Monitorin ganalisis Reporting Compliance Cycle Implemetation training Policies & Plans

21 Board Global Head of Compliance Country/Regional Head of Compliance Country Head/ CEO Business Line Compliance Officers (Country/Regional Level) Functional relationship Business Line Heads Reporting lines

22 COMPLIANCE: STATO DELL ARTE IN ITALIA E radicata in banche a controllo estero o in filiali di banche estere La mission è di preservare la reputazione: accerta e implementa l osservanza di politiche e procedure aziendali Risulta collocata di norma in staff all AD o al DG E un supporto consultivo per il vertice e per le strutture aziendali E spesso svolta all interno della Funzione Legale o dell Internal Audit Ha un ruolo in attività strategiche: fusioni, nuovi business e nuovi prodotti Segue la deontologia e monitora il conflitto d interessi Ha compiti di formazione e di sensibilizzazione delle risorse umane Segue l evoluzione normativa e supervisiona regole e procedure compliance