Banca Popolare di Milano

Transcript

1 Banca Popolare di Milano Dott.ssa Paola Sassi Responsabile Staff Tecnico Direzione Controlli Tecnico Operativi PRESENTAZIONE L'approccio metodologico in Banca Popolare di Milano MILANO, 15 GIUGNO 2005 La presentazione è stata realizzata da Banca Popolare di Milano ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione.

2 STEP PROGETTUALI SUL SISTEMA DEI CONTROLLI INTERNI Piano di Audit Revisione Attività Internal Auditing Norme attuative di riferimento per il Gruppo Tempo Modello di Controllo Interno della Banca e del Gruppo Action Plan Verifica del Sistema dei Controlli Interni Definizione di Obiettivo Perimetro Processi Metodologia 2

3 OBIETTIVO DELL INTERVENTO MODELLO DI BUSINESS DI GRUPPO SISTEMA DI CONTROLLO INTERNO BUSINESS PROCESSI SUPPORTO GOVERNO AMBIENTE DI CONTROLLO VALUTAZIONE DEI RISCHI ATTIVITA DI CONTROLLO FLUSSO INFORMATIVO MONITORAGGIO CONTROL GOVERNANCE (Alta Direzione) CONTROLLI DI LINEA (Business Line) REVISIONE INTERNA (Internal Audit) Allineamento SCl al Modello di Business 3

4 FOCUS Intervento Competenza Obiettivi azione Ambiente di controllo Alta Direzione Cultura del controllo Norme etiche Ruoli e responsabilità 4

5 FOCUS Intervento Competenza Obiettivi azione Valutazione dei rischi Business & Service lines Individuazione, misurazione e valutazione di tutti i rischi aziendali - impatto sugli obiettivi e probabilità accadimento Analisi dei fattori di rischio (esterni / interni) Dimensionamento del sistema di controllo Attività di controllo Business & Service lines Azioni di contenimento dei rischi aziendali con garanzia di perseguimento delle strategie (controlli di LINEA) Flusso informativo Business & Service lines Tempestiva diffusione delle informazioni a tutti i livelli aziendali 5

6 LA METODOLOGIA Piano degli interventi I. Censimento dei controlli esistenti nei processi II. III. Risk assessment sui processi Valutazione dei controlli e dei fattori di mitigazione presenti nei processi IV. Executive Summary V. Action Plan 6

7 LA METODOLOGIA Risk Assessment 1. Descrizione delle singole attività facenti parte dei processi 2. Verifica aggiornamento del repository aziendale 3. Identificazione di ruoli e competenze (anche supportata da interviste strutturate agli owner di processo) 4. Analisi delle normative interne e del relativo stato di aggiornamento (verifica di compliance) 5. Verifica dei gap emergenti dall analisi dei processi (difformità tra agito e normato ) 6. Evidenziazione dei rischi insiti nelle singole attività operative in cui si articolano i processi analizzati. Perchè il risk assessment raggiunga massima efficacia occorre definire adeguatamente: i perimetri dell intervento i processi da esaminare 7

8 LA METODOLOGIA: IL RISK ASSESSMENT Piano di Analisi Macro Processo Processo Sotto-processo Obiettivo (*) Input/Output Attività Owner Elaborazione dati Contenuti Processo Principale sotto osservazione I processi che compongono il Processo Principale Attività di dettaglio in cui si dividono i singoli processi Definizione degli elementi di natura quali/quantitativa che caratterizzano il risultato atteso del processo Attività/informazioni che alimentano/fuoriescono i/dai processi Descrizione delle fasi principali del processo (intervista all owner) Identificazione di chi ha la proprietà e la responsabilità dei risultati dell'attività Supportata da applicativi informatici o svolta manualmente (*) Il livello di dettaglio può sensibilmente aumentare a seconda della profondità che s intende attribuire all analisi; maggior livello di dettaglio maggiori costi maggiore tempo impiegato 8

9 LA METODOLOGIA: IL RISK ASSESSMENT Attività Descrizione delle fasi principali del processo (intervista all owner) Rischio (*) Categoria di rischio Probabilità Impatto Eventi (effettivi o potenziali) che inibiscono il risultato del processo. Classificazione del rischio in base a macrocategorie definite (Credito, Mercato, Operativo, Altri Rischi) Frequenza (Bassa, Media, Alta) di accadimento dell evento che può influire negativamente sul raggiungimento degli obiettivi di processo (orizzonte temporale di riferimento 12 mesi) Danno (Basso, Medio, Alto) subìto a seguito del manifestarsi dell evento pregiudizievole Rischio lordo Controllo / Fattori mitiganti Valutazione del controllo Rischio residuo Valutazione dell'esposizione assoluta al rischio, definita con l'owner Controllo: attività orientata alla prevenzione o alla rilevazione della manifestazione dell evento pregiudizievole. Fattore mitigante: fattore che, pur non costituendo un attività di controllo in senso stretto, mitiga la rischiosità del processo e/o dell attività operativa (es. polizze assicurative, disaster recovery plan, ecc.) Valutazione dei fattori di mitigazione dei rischi presenti nei singoli processi/procedure analizzati Valutazione della rischiosità residuale all evento pregiudizievole (*) I rischi possono essere qualificati anche in funzione della specifica normativa di riferimento che guida l analisi; es. la categoria rischi operativi può seguire la classificazione Basilea 2. 9

10 LA METODOLOGIA: IL RISK ASSESSMENT La Matrice di valutazione dei Rischi esprime le variabili probabilità e impatto, dal cui incrocio si determina la rilevanza del rischio. ALTO M A A IMPATTO MEDIO B M A BASSO B B M ALTA MEDIA BASSA PROBABILITA' 10

11 CONSEGUENZE POSITIVE DEL RISK ASSESSMENT Maggiore diffusione della cultura del controllo negli owner di processo Acquisizione di consapevolezza da parte dei process owner del proprio ruolo, nonchè delle proprie responsabilità Autovalutazione da parte dei soggetti coinvolti delle proprie attività, anche dei rischi conseguenti Validazione/condivisione dei rischi con gli owner di processo Maggiore efficacia nelle azioni correttive per il coinvolgimento degli owner nei processi di controllo di loro pertinenza Identificazione della rischiosità lorda e netta (mitigata dalle attività di controllo a presidio dei rischi identificati) Piani d intervento basati sull analisi dei rischi, con priorità in linea con gli obiettivi aziendali Attivazione di controlli coerenti con i rischi insiti nei processi e adeguamento per modalità e frequenza della loro applicazione ai rischi stessi 11

12 GLI OUTPUT Executive Summary: evidenza dei gaps esistenti Action Plan: sviluppo di piani d azione idonei a ridurre i rischi Determinazione della probabilità di raggiungimento degli obiettivi di business Importanza della condivisione per la riuscita degli interventi Step successivi Formalizzazione dei nuovi controlli di linea Allineamento attività di audit Revisione e potenziamento dei flussi informativi (bottom up top down) 12

13 I CONTROLLI DI LINEA Il Sistema dei Controlli di Linea: la Rete Commerciale Attivazione di nuove attività di monitoraggio sulla Rete Commerciale Standardizzazione delle metodologie di controllo usate presso la Rete Commerciale con quelle dell Internal Audit per un confronto diretto e immediato dei risultati Adeguamento risorse delle strutture di controllo di primo livello presso la Rete Commerciale Definizione di nuovi flussi informativi standardizzati. Invio periodico ai livelli gerarchici superiori e all Internal Audit Potenziamento dell attività formativa a distanza e in aula sulle normative (es. antiriciclaggio, privacy e sicurezza) e sulle nuove modalità di controllo 13

14 I CONTROLLI DI LINEA Esempio: i Promotori Finanziari non dipendenti Attivazione di controlli automatici (esempi di indicatori anomalia) Sconfinamenti fido-conto Operatività anomala di negoziazione e dettaglio canale trasmissione ordini Rapporti c/c aperti-chiusi e durata media Controllo su divieto di stabilire rapporti con Amministratori, Sindaci, Dipendenti Divieto ai P.F. di ricevere deleghe da clientela Divieto di operare in strumenti derivati per conto proprio Operatività a maggior rischio: controllo su utilizzo derivati per conto della clientela Presenza prodotti alta remunerazione Composizione e peso % voci di fatturazione 14

15 I CONTROLLI DI LINEA Flussi informativi prodotti dall unità di controllo di primo livello Promotori Finanziari Invio periodico degli esiti dei monitoraggi al livello superiore gerarchico (Area Territoriale e Commerciale Direzione Commerciale) Invio trimestrale degli esiti dei monitoraggi all Internal Audit 15

16 NUOVO MODELLO DI CONTROLLO INTERNO NORME ATTUATIVE DI RIFERIMENTO PER IL GRUPPO Procedure formalizzate di coordinamento e collegamento con le Controllate per tutte le aree di attività di rischio Meccanismi di integrazione dei sistemi contabili Flussi informativi periodici atti a monitorare il perseguimento degli obiettivi strategici e il rispetto delle normative Compiti e responsabilità attribuiti alle diverse unità deputate al controllo dei rischi all interno del Gruppo Procedure che consentono in modo accentrato la misurazione, la gestione e il controllo dei rischi di Gruppo Sistemi informativi che consentono di monitorare i flussi finanziari e le relazioni di credito tra i soggetti componenti il Gruppo 16

17 ATTIVITA DI AUDIT Gestione e Controllo Rischi Risorse Adeguamento quali/quantitativo Strumenti Sistema Informativo Internal Auditing Metodologie Utilizzo continuativo di tecniche di Risk Assessment Attività ispettiva tradizionale supportata da check list 17

18 NUOVI PROGETTI D. LGS 231/01 Basilea II IAS Potenziamento Controlli di Linea Patti Chiari Trasparenza.. 18

19 NUOVI PROGETTI Basilea II e impatti su Internal Auditing e Risk Management: interazioni tra le funzioni (*) Market Risk Credit Risk Operational Risk Step previsti Flussi informativi per I.A. ai fini valutazione del S.C.I. Audit sulle attività di Risk Management: validazione modelli interni (*) Condivisione di tecniche, dei linguaggi, e delle metodologie di risk assessment; es. Coordinamento attività con Operational Risk 19

20 I FLUSSI INFORMATIVI Flussi informativi CDA - COMITATI CONSILIARI - COLLEGIO SINDACALE ALTA DIREZIONE Bottom up Top down INTERNAL AUDITING RISK MANAGEMENT PROCESSI DI BUSINESS Livelli di controllo PROCESSI DI SUPPORTO 20

21 DEFINIZIONE DEL PIANO DI AUDIT (cadenza annuale) Analisi Rischi aziendali Valutazione della rilevanza e della vulnerabilità dei processi alla luce dei controlli introdotti per mitigare il rischio. Analisi del piano di business Le attività soggette ad audit sono strettamente legate a quanto previsto nel piano strategico aziendale. 21

22 VALUTAZIONI DELL AUDIT Sistema di gestione dei rischi Formulazione di un giudizio anche basato sui flussi informativi provenienti dai livelli di controllo sottostanti Sistema di Controllo Interno Espressione di un giudizio basato sui flussi informativi provenienti dai livelli di controllo sottostanti Processo di governance Valutazione di: Principi e valori Obiettivi Monitoraggio attività e prestazioni Misure di accountability 22