Compliance 2010 Compliance in Banks 2010 Dott. Giuseppe Aquaro Responsabile Group Audit Unicredit S.p.A. Il coordinamento complessivo del Sistema dei Controlli Interni in Banca Roma, 12 Novembre 2010
Premessa: Controlli e governo societario sono aspetti solo apparentemente distinti: in realtà si integrano e concorrono insieme al buon funzionamento di un impresa. Il sistema dei controlli interni è parte integrante dei meccanismi di governo societario: una buona percentuale di controlli sta nella governance, una buona governance vuol dire buoni controlli. Gli assetti organizzativi e di governo delle banche devono pertanto essere tali da realizzare gli interessi dell impresa e allo stesso tempo contribuire ad assicurare condizioni di sana e prudente gestione. L Internal Governance delle banche è un elemento strategico per assicurarne la sana e prudente gestione: le disposizioni di vigilanza emanate dalla Banca d'italia contengono, tra le altre, regole di Internal Governance, in cui particolare attenzione viene dedicata al sistema dei controlli interni. Efficaci controlli, esercitati da funzioni di controllo autorevoli, attive e indipendenti sono presidi imprescindibili della solidità della banca. Fonte: Banca d Italia 1
Risposta ai requisiti di Banca d Italia: Attivamente coinvolti nella gestione della banca consapevoli delle specifiche tipologie di rischi insiti nell operatività prescelta ORGANIZZAZIONE Requisiti organizzativi rappresentano il più efficace -e in alcuni casi l unico -presidio per quei rischi non pienamente misurabili, come il rischio di compliance. VERTICI AZIENDALI FLUSSI INFORMATIVI L unitarietà e l organicità del sistema dei controlli e l aggiornamento nel continuo delle modalità di misurazione e valutazione di tutti i rischi cui l intermediario sia esposto o intenda esporsi. SISTEMA DI CONTROLLO INTERNO Completi, tempestivi, direttamente rivolti agli organi di amministrazione e controlli Il mutato contesto finanziario ha spinto ad un passaggio dagli strumenti tipici della vigilanza strutturale a forme più evolute di controllo, proprie della risk based supervision 2
Ruolo della funzione di Audit: Internal audit è una funzione indipendente istituita dal Management di un impresa ed è parte integrante del sistema dei controlli interni. Effettua una attività di assurance e consulting indipendente, oggettiva e finalizzata a valutare, valorizzare e migliorare il Sistema dei Controlli Interni della Banca. Aiuta la Banca a raggiungere i propri obiettivi di sana e prudente gestione secondo un approccio sistematico e disciplinato al fine di valutare e migliorare l adeguatezza dell operatività della Banca in particolare mediante la valutazione e il miglioramento dell efficacia del risk management, dei controlli e dei processi di governance Le funzioni di controllo devono essere autorevoli, innovative e dotate di adeguate risorse professionali 3
Mission: Fornisce agli Organi Aziendali e al Collegio Sindacale una valutazione indipendente sull adeguatezza e sulla funzionalità del sistema dei controlli interni di Gruppo Attività di Verifica (ex post) Attività Consulenziale (ex ante) Fornisce una valutazione indipendente sulla Governance, sul Risk Management e sui processi di controllo della Società al fine di valutarne la relativa adeguatezza e robustezza in termini di completezza del disegno e efficacia dei relativi controlli chiave posti in essere Attività di supporto consulenziale al fine di migliorare il sistema dei controlli interni per i i nuovi processi posti in essere e per quelli correnti revisionati A fronte del mutato contesto finanziario la Competence Line di Audit si è evoluta nell ottica della flessibilità e dinamicità
Come viene assicurata la flessibilità: Audit partecipa attivamente alla vita aziendale attraverso un confronto con i vertici aziendali, Autorità di Vigilanza, associazioni di categoria Audit prende parte ai Comitati, ai progetti di Gruppo Audit esprime opinioni preventive in termini di rischi e relativi controlli per i nuovi processi, procedure e normative Audit effettua la pianificazione degli interventi secondo un criterio risk oriented Audit, effettua una identificazione dei maggiori rischi (TOP RISKS) attraverso confronti periodici con il Top Management Audit effettua le proprie attività di verifica attraverso un articolato sistema di strumenti e attraverso una strutture dedicate ad assicurare criteri uniformi dal punto di vista metodologico e di monitoraggio. La partecipazione alla vita aziendale consente di avere la necessaria flessibilità per svolgere le attività di verifica in contesto complesso e dinamico 5
Il Gruppo UniCredit Dipendenti: oltre 165.000 Filiali: 9.799 Operazioni bancarie in 22 paesi Operatore globale nell asset management: 176 miliardi di attività gestite Leader di mercato nell Europa centroorientale (CEE) facendo leva sulle forze strutturali dell area Leader di mercato nell Europa centro- orientale 6
La funzione di Internal Audit: UniCredit S.p.A assicura il coordinamento delle attività delle Entità con un sistema manageriale di gestione basato sul concetto delle competence line. Internal Audit department in qualità di competence line opera trasversalmente rispetto alle strutture societarie vigenti, nel rispetto delle responsabilità assegnate dalle leggi e normative locali. GROUP AUDIT AUDIT ADVISORY & QUALITY ASSURANCE INTERNAL AUDIT AUDIT METHODOLOGIES & PROCESSES AUDIT MONITORING IAD OPERATIONS Fraud Detection & Remote Controls Administrative Processes & Operational Risk Financial & Market Risk Mngt Compliance Processes & Risks ICT Processes & Risks Credit Risk & Processes Group Audit adotta una struttura organizzativa suddivisa per tipologia di rischio 7
Internal Audit e la funzione di Compliance: Le Le disposizioni di di Vigilanza hanno richiesto che la la funzione di di Compliance fosse autonoma dalle altre funzioni di di controllo, anche da da quella di di Internal Audit in in cui di di sovente era inserita L attivazione della funzione di di compliance è avvenuta secondo criteri di di efficienza e di di proporzionalità, fugando possibili preoccupazioni su su un eccessiva proliferazione delle strutture di di controllo. L Internal Audit sottopone a periodiche verifiche l adeguatezza e l efficacia della funzione di compliance. L indipendenza delle due funzioni assicura l imparzialità dell azione di entrambe. Con specifico riferimento all organo societario con funzioni di di controllo, i i rapporti con la la compliance devono caratterizzarsi per uno stretto collegamento, funzionale all adempimento del ruolo dell organo in in questione che è quello di di assicurare la la sana e prudente gestione dell intermediario attraverso la la verifica del rispetto delle norme di di legge, regolamentari e statutarie e la la prevenzione dei conflitti di di interesse e delle irregolarità gestionali. Il Il reporting della funzione di di conformità verso il il Collegio Sindacale arricchisce e completa gli gli strumenti necessari affinchè l azione di di controllo possa esplicarsi in in modo continuo ed ed efficace. Rappresenta una condizione imprescindibile affinchè siano effettivamente realizzati gli gli obiettivi attesi dai sistemi di di governo e controllo degli intermediari: l efficienza della gestione e l efficacia dei controlli. 8
Attività di Verifica: Le tipologie di audit, a seconda dell obiettivo che si prefiggono, si possono classificare in : Audit Generale: è eseguito sull intero ambito di rilevanza dell audit (esempio end-to-end process, etc.) Audit Specifico: è eseguito su una specifica fase/componente dell intero ambito di rilevanza dell audit (esempio specifico processo operativo, specifica unità organizzativa, etc.) Nel caso di Audit Specifico devono essere evidenziati e oppurtunamente formalizzati gli elementi/areee/fasi non valutati Process Audit Network Audit IT Audit Project Audit Special Investigation Audit Generale First Appraisal Audit Specifico Global Audit Subsidiaries Audit Subsidiaries Audit Approccio Taylor made delle attività di audit per una completa copertura dell ICS di un Gruppo internazionale
Attività consulenziale : L attività consulenziale effettuata non deve compromettere l indipendenza dell Internal Audit: Internal Audit non prende parte alla definizione di processi e procedure, all identificazione dei relativi controlli, alla stesura di procedure e normative interne e di Gruppo Le attività di supporto consulenziale sono tendenzialmente richieste 'ex ante l implementazione ad es. di processi, procedure, normative interne locali e/o di Gruppo. Per la Banca l opinione indipedente di Audit aggiunge valore e previene eventuali dimenticanze in termini di rischi e controlli prima che il processo diventi ufficiale o la normativa effettiva. L attività consulenziale non compromette l indipendenza della funzione di Audit 10
Attività consulenziale : Alcune delle attività consulenziali svolte da Internal Audit sono: Partecipazione ai principali progetti (senza decision making authority ) Fornire un opinion sui nuovi processi, policy e procedure e nuovi prodotti in termini di rischi e relativi controlli Partecipazione ai principali Comitati di Gruppo (come uditore senza diritto di voto) Sanity check L attività consulenziale genera valore aggiunto alla fuzionalità del complessivo sistema dei controlli interni 11
Conclusioni : Compliance in Banks 2010 La flessibilità vuol dire: Partecipazione alla vita aziendale; Visione integrata; Continuo confronto; Professional Skills; Training costanti Audit should be part of the solution and not of the problem 12