Il Valore Aggiunto del Sistema dei Controlli Interni Integrato

Transcript

1 Il Valore Aggiunto del Sistema dei Controlli Interni Integrato La vista dell Organizzazione e la vista dell Audit Milano, 24 Aprile 2015

2 LA VISTA DELL ORGANIZZAZIONE Massimo Barazzetta, Responsabile Direzione - Organizzazione, ICT e Operations Gruppo Banco Desio 2

3 Il Ruolo dell Organizzazione e dell IT nella ges?one del SCI q L Organizzazione e l IT giocano un ruolo fondamentale nello sviluppo e nell applicazione del sistema dei controlli interni, agevolando il processo di integrazione tra le diverse funzioni di controllo: 1. Gestendo la conoscenza aziendale a>raverso la definizione e la manutenzione dei processi e della norma@va interna 2. Rendendo disponibili metodologie e strumen@ per la ges@one delle informazioni: alimentazione, archiviazione, ricerca e repor@ng 3. Svolgendo, nella maggior parte dei casi, il ruolo principale di implementatore degli interven@ di prevenzione e mi@gazione dei rischi 3

4 Il Ruolo dell Organizzazione e dell IT nella ges?one del SCI 1...gestendo la conoscenza aziendale a>raverso la definizione e la manutenzione dei processi e della norma@va interna a. Definizione di un unica tassonomia dei processi condivisa da tu>e le funzioni aziendali (prodoj/servizi, ABI- Lab, Funzionale, ecc...) b. Rilevazione, mappatura e manutenzione dei processi aziendali in un unico repository c. Chiarezza e completezza delle informazioni riportate nei processi aziendali (ajvità, ruoli, applica@vi, rischi, controlli, ecc.) d. Definizione, aggiornamento con@nuo e diffusione della norma@va all interno dell azienda e. Allineamento tra le informazioni riportate nella norma@va aziendale ed il contenuto del repository dei processi 4

5 Il Ruolo dell Organizzazione e dell IT nella ges?one del SCI 2... rendendo disponibili metodologie e strumen@ per la ges@one delle informazioni: alimentazione, archiviazione, ricerca e repor@ng a. Definizione di standard univoci di rappresentazione dei processi e delle norma@va aziendale b. Ges@one dei flussi di alimentazione del repository dei processi e di produzione della norma@va interna c. Garanzia dell allineamento tra quanto riportato nel repository dei processi e nella norma@va interna con le anagrafiche presen@ nel sistema di ges@one integrata dei rischi e dei controlli (GRC) d. Implementazione dell ambiente di stoccaggio delle informazioni e ges@one dei profili e dei processi di accesso per la ricerca efficiente dei contenu@ e. Implementazione dei processi di repor@ng integra@ e delle singole funzioni di controllo 5

6 Il Ruolo dell Organizzazione e dell IT nella ges?one del SCI 3... svolgendo, nella maggior parte dei casi, il ruolo principale di implementatore degli interven@ di prevenzione e mi@gazione dei rischi Processo di Ges@one dei rischi Rilevazione Valutazione Monitoraggio Mi@gazione Processo di Ges@one Controlli Programmazione Audit Repor@ng Follow- Up Risk Management Compliance Organizzazione e IT Internal Audit 6

7 Integrazione del SCI nel Gruppo Banco Desio ORGANIZZAZIONE RISK MANAGEMENT COMPLIANCE REVISIONE INTERNA ü Unica tassonomia dei processi aziendali ü NormaBva interna aggiornata ü Unica mappa dei rischi ü Unico ambiente di lavoro per tuge le funzioni di controllo e ublizzo di un database condiviso per rischi e azioni di mibgazione/ rimedio Supporto metodologico Interlem M. C. 7

8 LA VISTA DELL AUDIT Marco Sgura, Responsabile Ufficio Programmazione Audit e Monitoraggio Rischi Gruppo Banco Desio 8

9 Premessa q il processo di ges@one dei rischi è efficacemente integrato.* Sono considera@ parametri di integrazione: 1) la diffusione di un linguaggio comune nella ges@one dei rischi e l adozione di metodi e strumen@ di rilevazione e valutazione tra di loro coeren@; 2) la definizione di modelli di reporbsbca dei rischi, al fine di favorirne la comprensione e la corre>a valutazione, anche in una logica integrata; 3) l individuazione di momen@ formalizza@ di coordinamento ai fini della ges@one integrata dei rischi e la condivisione delle azioni di rimedio; 4) la previsione di flussi informabvi tra le diverse funzioni in relazione ai risulta@ delle ajvità di controllo di propria per@nenza; * Circ. 263/ agg.to Banca d Italia 9

10 1) Un linguaggio comune LINGUAGGIO, METODI E STRUMENTI CONDIVISI q Unica tassonomia dei processi q Unica mappa dei rischi q Valutazione e condivisione dei modelli di ges@one dei rischi q Metodologie di ges@one dei rischi coeren@ con le strategie aziendali q Unica base da@ contenente le anagrafiche, le valutazioni e i legami tra: ü ProdoJ e Processi aziendali ü Rischi ü Fa>ori di rischio ü Key Risk Indicators (KRI s) ü Controlli ü Altre azioni di prevenzione e mi@gazione dei rischi Database Processi GRC 10

11 2) Repor?s?ca integrata È necessario approcciare la del rischio in una logica integrata, definendo modelli di trasversali, al fine di favorirne la comprensione e la corre>a valutazione. q SeleNvità: obiejvi conosci@vi precisi q Rilevanza: solo informazioni richieste CARATTERISTICHE DELLE INFORMAZIONI q Confrontabilità: scostamen@ rispe>o agli obiejvi q Chiarezza: linguaggio privo di espressioni di dubbia interpretazione q SinteBcità: informazioni essenziali per la comprensione dei fenomeni q Concretezza: individuare i veri problemi e le eventuali inizia@ve di risoluzione da avviare, a>ribuendone in modo chiaro la responsabilità q TempesBvità: considerare il fa>ore tempo per l applicazione delle azioni di prevenzione e mi@gazione del rischio 11

12 3) Coordinamento azioni di rimedio 12

13 4a) Flussi Informa?vi prima dell implementazione del GRC Flusso InformaBvo MiGente DesBnatario Tableau de Bord Risk Management Risk Management Revisione Interna Report ORM SRA Risk Management Revisione Interna Tableau de Bord Compliance Compliance Revisione Interna Risk Management Report Audit Revisione Interna Risk Management Compliance Plan Compliance Compliance Revisione Interna Risk Management Programmazione e rendicontazione dell'ajvità di controllo Risk Management Revisione Interna Compliance

14 4b) Flussi Informa?vi dopo l implementazione del GRC Revisione Interna Compliance Risk Management Dirigente Preposto 14

15 Evoluzione dell Audit q Uno degli elemen@ fondamentali del Sistema dei Controlli Interni è dato dall insieme delle responsabilità assegnate in tema di prevenzione e mi@gazione dei rischi. q Le responsabilità nel governo dei rischi devono essere inserite all interno di perimetri ben defini@ e non sovrappos@ tra di essi (principio di efficienza)* q Ogni livello di controllo, pertanto, pur avendo l obiejvo comune della salvaguardia del valore prodo>o dai processi, affronta la ges@one del rischio da pun@ di vista differen@ q Le funzioni di controllo di 2 livello definiscono le azioni di prevenzione e mi@gazione dei rischi. A tal fine, propongono e verificano la corre>a implementazione delle azioni medesime per determinarne il livello di efficacia ed efficienza e valutare il rischio potenziale residuo. q Le funzioni adde>e ai controlli di primo livello sono chiamate a far rispe>are le regole stabilite nell impianto definito. q La Revisione Interna è chiamata a svolgere verifiche sui processi di ges@one dei rischi (sul 2 livello) e «strumentalmente», al fine di compiere una valutazione complessiva dell efficacia del sistema dei controlli interni, svolge verifiche mirate (in funzione dei rischi ogge>o di analisi), anche sui processi produjvi. *Documento di coordinamento e collaborazione tra tu>e le funzioni e organi con compi@ di controllo 15

16 Evoluzione dell Audit q Il recupero di efficienza e di efficacia da parte dell Internal Audit va individuato nella evoluzione della funzione da di ispe>orato a quella di assurance della validità del sistema dei controlli interni. Controllo sull osservanza di regole e procedure Valutazione dell affidabilità dei sistemi di governo dei rischi e delle performance aziendali (SCI) q Il processo di coordinamento delle funzioni di controllo, a>raverso la messa in luce dei pun@ di sovrapposizione funzionale, ha reso possibile, unitamente all u@lizzo di metodologie e strumen@ informa@ci di integrazione, dare avvio a tale modello evolu@vo con consisten@ potenziali recuperi di efficienza da parte del sistema dei controlli interni. 16