L attività di Internal Audit nella nuova configurazione organizzativa

Transcript

1 L attività di Internal Audit nella nuova configurazione organizzativa Massimo Bozeglav Responsabile Direzione Internal Audit Banca Popolare di Vicenza

2 Indice 1. I fattori di cambiamento 2. L architettura del Sistema dei Controlli Interni 3. Interrelazioni dell I.A. con gli Organi / Funzioni di Controllo 4. Conclusioni p 2

3 I fattori di cambiamento Nel corso del tempo, ed in particolare a partire dagli anni 90 la funzione di Internal Audit è stata oggetto di profondi cambiamenti derivanti da mutazioni dei contesti organizzativi di riferimento ovvero da evoluzioni imposte dalle normative di Vigilanza. Con riferimento al primo aspetto, nel corso del tempo la Funzione di Internal Audit si è evoluta passando da un ambito spesso limitato a verifiche di conformità contabile e finanziaria (assurance sul funzionamento) ad obiettivi di più ampio respiro di assurance sul disegno e funzionamento e supporto consulenziale sul disegno. Ultima versione degli standard professionali per la pratica professionale dell Internal Audit: attività indipendente ed obiettiva di assurance e consulenza finalizzata al miglioramento dell efficacia e dell efficienza dell organizzazione Istruzioni di Vigilanza della Banca d Italia: attività volta ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione nonché valutare la funzionalità complessiva del sistema dei controlli interni L attività è svolta da strutture diverse ed indipendenti da quelle produttive, anche attraverso verifiche in loco p 3

4 I fattori di cambiamento Ulteriore impulso al cambiamento è derivato dalle evoluzioni introdotte dagli Organi di Vigilanza con particolare riferimento all introduzione di nuovi attori sui processi di controllo aziendali: Funzione di Risk Management Funzione di Compliance Dirigente Preposto Tali fattori hanno portato ad una profonda revisione dell architettura del Sistema dei Controlli Interni e dei meccanismi di interrelazione tra la funzione di Internal Audit e gli altri attori coinvolti nei processi di controllo. p 4

5 Indice 1. I fattori di cambiamento 2. L architettura del Sistema dei Controlli Interni 3. Interrelazioni dell I.A. con gli Organi / Funzioni di Controllo 4. Conclusioni p 5

6 Il Sistema dei Controlli Interni Il Sistema dei Controlli Interni può definirsi come l insieme delle regole, delle procedure e delle strutture organizzative volte a consentire, attraverso un adeguato processo di identificazione, misurazione, gestione e monitoraggio dei rischi, il conseguimento delle seguenti finalità: Efficacia ed efficienza dei processi aziendali Salvaguardia del valore delle attività e protezione delle perdite Affidabilità ed integrità delle informazioni contabili e gestionali Conformità delle operazioni con la legge, la normativa di vigilanza, nonché con le politiche, i piani, i regolamenti e le procedure interne. p 6

7 Schema del Sistema dei Controlli Interni CONTROLLI DI PRIMO LIVELLO CONTROLLI DI SECONDO LIVELLO CONTROLLI DI TERZO LIVELLO CONTROLLI DI LINEA Consistono nelle verifiche svolte sia da chi mette in atto una determinata attività, sia da chi ne ha la responsabilità di supervisione, generalmente nell ambito della stessa unità organizzativa o funzione GESTIONE DEI RISCHI E volta a individuare, misurare, controllare e gestire tutti i rischi legati alle attività, ai processi e ai sistemi dell impresa in conformità con le strategie e il profilo di rischio definiti dall alta dirigenza CONTROLLI DI CONFORMITA Sono volti a verificare l osservanza del rispetto degli obblighi di etero ed autoregolamentazione (ivi compresi quelli nella prestazione dei servizi di investimento) CONTROLLI DEL DIRIGENTE PREPOSTO Sono volti ad attestare/dichiarare l informativa contabile societaria secondo quanto previsto dalla Legge CONTROLLO INTERNO L attività di audit interno è volta a valutare, in una prospettiva di terzo livello, la completezza, la funzionalità e l adeguatezza dei sistemi e delle procedure, anche di controllo. FUNZIONE FUNZIONE DI LINEA DI LINEA FUNZIONI FUNZIONI DI RISK MANAGEMENT / COMPLIANCE / DIRIGENTE PREPOSTO DI RISK MANAGEMENT / COMPLIANCE / DIRIGENTE PREPOSTO FUNZIONE FUNZIONE INTERNAL AUDIT INTERNAL AUDIT p 7

8 Schema del Sistema dei Controlli Interni controlli di primo livello: diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture produttive (ad esempio, i controlli di tipo gerarchico) o incorporati nelle procedure e nei sistemi informatici, ovvero eseguiti nell'ambito dell'attività di back-office; controlli di secondo livello: affidati a strutture diverse da quelle produttive, che hanno l'obiettivo di: - concorrere alla definizione delle metodologie di misurazione del rischio, verificare il rispetto dei limiti assegnati alle varie funzioni operative e controllare la coerenza dell'operatività delle singole aree produttive con gli obiettivi di rischio rendimento assegnati (Risk Management); - concorrere alla definizione delle metodologie di misurazione/valutazione del rischio di conformità, individuare idonee procedure per la prevenzione dei rischi rilevati e richiederne l adozione (Compliance); - attestare/dichiarare l informativa contabile societaria secondo quanto previsto dalla legge (Dirigente Preposto). attività di revisione interna (terzo livello): volta a individuare andamenti anomali, violazioni delle procedure e della regolamentazione, nonché a valutare la funzionalità del complessivo sistema dei controlli interni. Essa è condotta nel continuo, in via periodica o per eccezioni, da strutture diverse e indipendenti da quelle produttive, anche attraverso verifiche in loco p 8

9 Processo di controllo interno e strutture coinvolte Organi con Funzioni di Controllo Sistemi Informativi Strutture Operative Comitati Verifica Indirizzo Controllo Sistema Poteri Flussi Informativi Aggiornamento Delegati Corpo Normativo Interno Consiglio di Ammnistrazione SISTEMA DEI CONTROLLI INTERNI p 9

10 Gli Attori del Sistema dei Controlli Interni Organi di Controllo e Vigilanza Consiglio di Amministrazione e Collegio Sindacale Comitato per il Controllo Organismo di Vigilanza 231/01 Funzione di Controllo di Terzo Livello Internal Audit Funzioni di Controllo di Secondo Livello Risk Management Compliance Strutture di supporto al Dirigente Preposto Altre funzioni di controllo di 2 livello (es. sicurezza) Funzioni di Controllo di Primo Livello Process Owner: Rete Filiali, Crediti, Organizzazione, Back Office, ecc. p 10

11 Profili di controllo del Gruppo Banca Popolare di Vicenza CdA Alta Direzione Collegio Sindacale Internal Audit Risk Management Compliance Strutture Banca / Gruppo Indirizzo, Direzione, Verifica X X Controllo Legale X X Gestione Rischi Credito Mercato X X Operativo X X Non Conformità Reputazionale X X Revisione Interna ICAAP (1) (1) X Adeguatezza SCI X X Controlli di primo livello X (1) L I.A. supporta il Collegio Sindacale nella verifica del sistema di gestione e controllo dei rischi definiti nell ICAAP. p 11

12 Indice 1. I fattori di cambiamento 2. L architettura del Sistema dei Controlli Interni 3. Interrelazioni dell I.A. con gli Organi / Funzioni di Controllo 4. Conclusioni p 12

13 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Mission / Responsabilità degli Organi di controllo e vigilanza Interrelazioni/ responsabilità I.A. Consiglio di Amministrazione Fissare le linee di indirizzo del SCI nonché limiti e deleghe operative da assegnare agli organi delegati all Alta Direzione Comitato per il Controllo Verificare la funzionalità del SCI assistendo il Consiglio di Amministrazione nell espletamento dei suoi Compiti in materia di controllo interno e governo dei rischi Garantisce opportuni flussi informativi allo scopo di porre tali Organi nella condizione di verificare la funzionalità,l efficacia e l efficienza del SCI in coerenza con la propensione al Rischio prescelta p 13

14 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Mission / Responsabilità degli Organi di controllo e vigilanza Interrelazioni/ responsabilità I.A. Collegio Sindacale Verificare il regolare funzionamento complessivo di ciascuna principale area organizzativa; in particolare svolge i compiti di controllo che la legge gli affida, verificando la correttezza delle procedure contabili. Esso inoltre valuta il grado di efficienza ed adeguatezza del sistema dei controlli interni con particolare riguardo al controllo dei rischi, al funzionamento dell Internal Audit e al sistema informativo contabile. E la Funzione di supporto al Collegio Sindacale ai fini della valutazione dell efficienza ed adegatezza del sistema di controlli interni. A tal fine l I.A. tiene costantemente attivo nei confronti del suddetto Organo un flusso informativo su tutta l attività svolta. p 14

15 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Mission / Responsabilità degli Organi di controllo e vigilanza Interrelazioni/ responsabilità I.A. ODV ex D.Lgs 231/01 Ove istituito, è affidato il compito di vigilare sul funzionamento e l osservanza del modello organizzativo adottato dall Ente allo scopo di prevenire la commissione dei reati previsti dal D.Lgs 231/01.sollecitandone l aggiornamento alla luce delle evoluzioni normative ovvero la scoperta di significative violazioni delle prescrizioni nonché, infine, quando intervengono mutamenti nell organizzazione dell Ente. Garantire un adeguato flusso informativo sulle risultanze emerse dalla propria attività di auditing al fine di consentire all ODV di verificare l efficacia e l efficienza del modello organizzativo adottato ed il rispetto delle modalità e delle procedure previste dal modello organizzativo stesso. p 15

16 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Funzioni di controllo di secondo livello Interrelazioni/ responsabilità I.A. Funzione di Compliance Ha la responsabilità di prevenire e gestire il rischio di non conformità alle norme Risk Management Assicurare l attività di misurazione e controllo dei rischi (di credito, di mercato, di liquidità, operativo, di controparte, di tasso) Dirigente Preposto (limitatamente ai processi di controllo) Valutare l adeguatezza e funzionalità dei controlli sui processi amministrativo-contabili Assurance: Garantisce un azione di verifica sulle funzioni di controllo di secondo livello ai fini della valutazione sul disegno e sul funzionamento del complessivo SCI. Supporto: garantire alle funzioni di controllo di secondo livello i flussi informativi rivenienti dall attività di revisione interna che risultano necessari alle stesse nell espletamento dei propri compiti di gestione dei rischi. p 16

17 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Funzioni di controllo di secondo livello Interrelazioni/ responsabilità I.A. PUNTI DI ATTENZIONE (perché gli SLA di servizio) Al fine di garantire l imparzialità di giudizio nelle proprie attività di Revisione Interna, il supporto dell Internal Audit deve consistere esclusivamente nel porre a disposizione i dati informativi di interesse della Funzione richiedente, fornire delucidazioni in merito alle metodologie di valutazione dei rischi e dei controlli, rendere consulenza riguardo al tema dell efficacia e funzionalità del SCI Nei rapporti tra I.A. e Funzioni di controllo di secondo livello occorre definire con esattezza il perimetro di verifica dell una e delle altre Funzioni dal momento che su taluni ambiti e materie (in particolare la Compliance) il confine non è ben definito e si generano inevitabilmente rischi di sovrapposizione e duplicazione delle attività. p 17

18 Assetto Organizzativo Direzione I.A. nel Gruppo B.P.Vi CONSIGLIO DI AMMINISTRAZIONE PRESIDENTE CONSIGLIERE DELEGATO DIREZIONE INTERNAL AUDIT COMITATO PER IL CONTROLLO INTERNO O.D.V. ex art. 6 D.Lgs 231/2001 Responsabili Revisione Interna delegati per le società Controllate (gerarchicamente e funzionalmente dipendenti dal Responsabile della Direzione Internal Audit della Capogruppo) Resp. Revisione Interna BPVI Fondi Sgr Resp. Revizione Interna NEM Resp Revisione Interna Nem Due Sgr Resp. Revisione Interna Prestinuova Resp. Revisione Interna Farbanca Resp. Revisione Interna Banca Nuova Resp. Revisione Interna CariPrato DIRETTORE GENERALE UFFICIO SEGRETERIA UFFICIO SVILUPPO E VALUTAZIONE SCI E AUDITING ICT U.O. ISPETTORATO RETE CARIPRATO (Impalmi A.) U.O. ISPETTORATO RETE BANCA NUOVA (Gabriele A.) COORDINAMENTO SERVIZI AUDITING DI GRUPPO COORDINAMENTO SERVIZI ISPETTIVI U.O. AUDITING GOVERNO E SUPPORTO U.O. ISPETTORATO RETE BPVI U.O. AUDITING FINANZA U.O. VERIFICHE A DISTANZA DI GRUPPO U.O. AUDITING CREDITO E OPERATIVO U.O. ANTIRICICLAGGIO p 18

19 100% 80% 60% 40% 20% 0% Esempi di flussi informativi per le Funzioni di Controllo di 3 Liv. Gruppo Banca Popolare di Vicenza Processo - I semestre % 20% 40% 60% 80% 100% Fase.. 4,04% 20,20% 75,76% 9,00% 5,48% 20,00% 14,29% Fase. 2,00% 24,00% 53,00% 21,00% Fase. 6,00% 36,00% 58,00% 53,00% 52,05% 42,86% 31,00% 59,00% 10,00% 60,00% 36,00% 57,00% 7,00% 1,00% 37,00% 55,00% 7,00% 38,00% 42,47% 42,86% 20,00% 1,01% 27,27% 60,61% 11,11% GRUPPO Banca 1 Banca 2 Banca 3 2,11% 61,05% 36,84% Molto Alto Alto Basso Contenuto 11,11% 62,63% 26,26% 2,06% 56,70% 35,05% 6,19% 4,00% 41,00% 48,00% 7,00% 22,50% 51,25% 26,25% p 19

20 Interrelazioni dell I.A. con gli Organi/Funzioni di controllo Funzioni di controllo di Primo Livello Interrelazioni/ responsabilità I.A. Strutture produttive Hanno la responsabilità dei Controlli volti ad assicurare il corretto svolgimento delle operazioni Assurance: Garantisce un azione di verifica sulle strutture produttive al fine di verificare la corretta esecuzione dei controlli di linea. Supporto: garantire supporto e consulenza alle diverse funzioni aziendali con riferimento alle iniziative che incidono, direttamente o indirettamente, sulla funzionalità complessiva del sistema dei controlli interni. p 20

21 Indice 1. I fattori di cambiamento 2. L architettura del Sistema dei Controlli Interni 3. Interrelazioni dell I.A. con gli Organi / Funzioni di Controllo 4. Conclusioni p 21

22 Conclusioni Le recenti vicende di alcuni grandi gruppi bancari hanno risvegliato la querelle sull esigenza non solo di una maggiore efficacia dell apparato legislativo e di vigilanza, ma anche di una maggiore efficienza dei soggetti e delle Funzioni aziendali preposte al controllo. In un sistema caratterizzato per un certa ipertofia degli Organi e Funzioni di controllo efficienza vuol dire non solo qualità e professionalità ma anche coordinamento tra i Soggetti del controllo. In questo scenario, il ruolo dell Internal Audit va assumendo sempre maggiore centralità. E all Internal Audit che è affidato il compito di misurare la qualità dei controlli aziendali ed individuare opportune misure di miglioramento delle attività svolte dai diversi Organi e Funzioni Aziendali. In tale ottica, l obiettivo dell Internal Audit deve essere quello di sviluppare metodologie e Processi interni tali da consetirgli di utilizzare gli audit come strumento per il raggiungimento dell obiettivo primario della funzione: fornire ai Vertici Aziendali un quadro sullo stato di salute complessivo del Sistema dei Controlli Interni. p 22