Auditing sui processi finanziari in Posteitaliane - organizzazione, strumenti e orientamento alla consulenza - Direzione Internal Auditing Auditing Processi Finanziari e Amministrativi CeTIF - Milano, 22 giugno 2004 La presentazione è stata realizzata da Poste Italiane ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione.. 1
Agenda Organigrammi, prodotti e servizi finanziari, quadro normativo esterno La vision della Direzione Internal Auditing Compliance Audit Operational Audit Monitoraggio a distanza DIA Auditing Processi Finanziari ed Amministrativi 2
IL MODELLO ORGANIZZATIVO DI POSTE ITALIANE DIREZIONI COMUNICAZIONE RELAZIONI ESTERNE Giovanni Rodia AFFARI LEGALI Andrea Sandulli AFFARI ISTITUZIONALI E REGOLAMENTARI Ranieri Mamalchi SEGRETERIA ORGANI SOCIETARI Michele Scarpelli DIVISIONE CORRISPONDENZA Giuseppe Pantano GRUPPO POSTEL DIVISIONE RETE TERRITORIALE Massimo Bragazzi DIVISIONE ESPRESSO LOGISTICA PACCHI Valter Catoni GRUPPO SDA CONS. LOGISTICA PACCHI Scpa PRESIDENTE Enzo Cardi AMMINISTRATORE DELEGATO E DIRETTORE GENERALE Massimo Sarmi CONSIGLIERE D AMMINISTRAZIONE E CONDIRETTORE GENERALE Francesco Mengozzi COMITATI DIVISIONE BANCOPOSTA Francesco Mengozzi (a.i) POSTEVITA Spa BANCOPOSTA FONDI Spa SGR POSTECOM Spa Dario Cassinelli Consorzio POSTELINK POSTE ASSICURA Spa PROGETTO LOGISTICA Riccardo Sciolti PROGETTO SPECIALE REAL ESTATE Claudio Paoletti PROGETTO CONTACT CENTER INTEGRATO INPS- INAIL DIVISIONE FILATELIA Marisa Giannini DIREZIONI COMMERCIALE BUSINESS Fabio Meacci CHIEF MARKETING OFFICE Enrico Pazzali RISORSE UMANE E ORGANIZZAZIONE Claudio Picucci PIANIFICAZIONE STRATEGICA Paolo Stanzani AMMINISTRAZIONE FINANZA E CONTROLLO Claudio Sforza INTERNAL AUDITING Carolyn Dittmeier IMMOBILI E ACQUISTI Giovanni Cuturi INFORMATION & COMMUNICATION TECHNOLOGY Agostino Ragosa TUTELA AZIENDALE Stefano Grossi 3 indice
NUOVO MODELLO ORGANIZZATIVO DIVISIONE BANCOPOSTA POSTE Affari Legali Amministratore Delegato e Direttore Generale Internal Auditing Amministrazione e Finanza Risorse Umane e Organizzazione FUNZIONI CON COORDINAMENTO Consigliere d Amministrazione e Condirettore Generale Divisione Rete Territoriale Revisione Interna BP Monitoraggio e Controllo Rischi Controllo di 2 e 3 livello POSTE (Divisione BancoPosta) Direttore BancoPosta Amministrazione e Controllo Relazioni BP estero e Assistenza Clienti Segnalazioni di Vigilanza Risorse Umane e Organizzazione PRESIDI INTERNI Direzione Direzione Normativa Coordinamento Direzione Operazioni Direzione Sistemi Informativi Direzione Marketing Finanziario Controllo di 1 livello (escluso quello territoriale) Antiriciclaggio Reclami 4
PRODOTTI / SERVIZI e RISCHI di BANCOPOSTA Prodotti/servizi finanziari postali Prodotti/servizi finanziari bancari C/C postali Libretti di risparmio Buoni postali fruttiferi Vaglia Bollettini Servizi delegati (es. pensioni) Liquidità riversata in CCDDPP RISCHI Servizi di pagamento (bonifici, assegni, carte di credito e debito) Cambiavalute Servizi d investimento (titoli e fondi) Polizze Finanziamenti Operativi Credito Mercato risorse umane compliance contesto legale Partner/fornitori processi IT Processi contabili Collocamento finanziamenti di terzi (Deutsche Bank) DCRE - Pubblicità - Corporate Advertising Collocamento / ricezione e trasmissione ordini per conto terzi 5
MODELLO ORGANIZZATIVO DIREZIONE INTERNAL AUDITING Direzione Internal Auditing C. Dittmeier Sviluppo e Innovazione D. Graziani Amm.ne, Budgeting e Progetti Speciali G. Napolitano Procedure e Standard di Auditing R.Russo Pianificazione e Reporting F. Toraldo Ethics Governance E. Marzella Auditing Processi Corporate A. Paganini Auditing Servizi Postali P. Casati Auditing Processi Finanziari e Ammin.vi A. Caprilli Information Technology Auditing C. Vollono Operational Auditing M. Calise Compliance Auditing R. Greco Operational Auditing S. De Cadilhac Compliance Auditing L. Giuliani MONITORAGGIO A DISTANZA IT Compliance Auditing R. Valla IT Operational Auditing D. Bolli Auditing Banche Dati C.Vollono (a.i.) Audit Manager Territoriali Audit Manager Territoriali 6
Distribuzione territoriale auditor e piano di audit 2004 Area geografica Nord Ovest Lombardia Nord Est Centro Nord Centro 1 Centro Sud Audit manager Strata Santafede Saccuma n Buffadini Gnoni Maravelli Cestaro Iovane Risorse sul territorio 40 36 34 29 29 56 25 Piano di audit UP 2004 609 463 507 474 423 876 386 Piemonte V.A. 27 Lombardia 36 Liguria 13 Sardegna 15 Trentino AA 5 E. Romagna 23 Toscana 23 Veneto 18 Marche 6 Umbria 6 Lazio 31 Friuli VG 11 Abruzzo 10 Ripartizione geografica Audit coincide con ripartizione commerciale (Divisione Rete Territoriale) Molise 1 Campania 25 Puglia 18 Basilicata 3 Calabria Sud 1 Bonanno Intonti 15 22 233 337 Calabria 15 Sud 2 TOTALE Pisasale 31 317 431 4.739 Sicilia 31 Tutte le Filiali (140) 7
Principali riferimenti normativi applicabili alle attività di BancoPosta DPR 144/01 e successive modifiche Regolamento recante le norme sui servizi di BancoPosta Testo Unico della Finanza (d.lgs. 58/98 e successive modifiche) Testo Unico delle leggi in materia Bancaria e Finanziaria (d.lgs. 385/93) Istruzioni di Vigilanza per le Banche Circolare BI 229/99 e successivi aggiornamenti Regolamento Banca d Italia sulla Centrale Allarmi Interbancaria Normativa in materia di servizi d investimento (CONSOB) Normativa in materia di collocamento polizze assicurative (ISVAP) Normativa sui sistemi di pagamento (Legge Assegni, Protesto, ecc.) Normativa sull attività di cambiavalute (DM 372/01, provvedimento UIC del (21-12-01) Normativa antiriciclaggio Normativa sui servizi delegati e di tesoreria per conto dello Stato (Pagamento pensioni e stipendi per conto dello Stato) 8
Vision della Direzione Internal Auditing Progetto Reshaping Affidabilità del Sistema di Controllo Interno (quantità/copertura) Compliance Audit Ottimizzazione del Sistema di Controllo Interno (qualità/valore aggiunto) Operational Audit monitoraggio a distanza - analisi banche dati (*) Pianificazione risk based Procedure automatizzate e reporting direzionale Investimenti in formazione su U.P., Filiali e Strutture Centrali le analisi delle banche dati oltre a fornire esiti immediati di conformità/non conformità, costituisce input fondamentale per attivare iniziative di compliance ed operational audit (*) attualmente in fase di sviluppo progettuale Stile degli auditor consulenziale audit sui processi (trasversali alle divisioni) Risk Model e Control Model Poste Riattribuzione attività di fraud management a funzione specializzata 9
Vision della Direzione Internal Auditing - Risk model Rischi Interni Fattore umano Disegno Processo/Sistemi Governo e controllo direzionale Rischi Esterni Scenario Socio- Economico Concorrenza Compliance Processi IT Monitoraggio/ Informativa Mercato/ Cliente Rischi Non Operativi Rischi Operativi Risorse Umane Processi Ammin./ Contab. Pianificazione Partner/ Fornitori Altri Processi Integrazione Contesto Legale Infrastruttura/ Risorse tecniche Attacchi/ Eventi esterni Tecnologia 10
Vision della Direzione Internal Auditing Control Model Control Model Poste 8 elementi 1. Comunicazione degli obiettivi 2. Revisione globale dei processi Cultura di controllo 3. Risk Assessment/ Pianificazione 5. Responsabilità 4. Capacità 6. Impegno 7. Monitoraggio 8. Controlli diretti 11
Compliance Auditing DIA Auditing Processi Finanziari ed Amministrativi 12
Vision e Processo di Compliance Realizzazione vision: metodi/strumenti Pianificazione interventi Risk Based Processo di Compliance Audit territoriale Pianificazione Realizzazione strumenti per analisi preliminare Manuale audit su strutture territoriali organizzato per processo (aggiornato 2 volte l anno) Campionamento standard per processo/ struttura Carte di lavoro informatizzate per gli auditor Analisi preliminare Lettera di notifica Report Compliance Audit automatizzato Valutazione (rating) della struttura calcolato autonomamente dal sistema in base alle percentuali di conformità ed alla rilevanza dei processi; all auditor è consentito modificare il rating attribuito automaticamente Incontro di presentazione delle criticità/rischi con il responsabile di struttura e condivisione di un piano d azione Reportistica direzionale: strutture con valutazioni negative processi non conformi Follow-up Esecuzione programma verifica e valutazione struttura Incontro di condivisione del piano d azione Validazione report e inserimento nel S.I. DIA Reportistica direzionale Follow-up 13
Pianificazione Pianificazione Compliance Audit Risk Based Fattori dimensionali D Passo 1: I fattori di rischio Potenziale commerciale, Volumi, N. Sportelli, Rilevanza strategica, ecc Fattori di Controllo C Mono-operatore, Livello di informatizzazione, Profilo sicurezza; Controllo Percepito Esperienza audit A Anzianità/risultati ultimo audit non conformità sui processi (a tendere) Passo 2: Risk Scoring formula D 1 + D2 + C1 + C2+C3 A1+A2 1000 x ( ) x ( ) = Risk score n s +c x 5 n a x5 14
Analisi preliminare Analisi preliminare compliance audit: obiettivi Acquisire un adeguata conoscenza dell attività realmente svolta dalle strutture oggetto di audit (anche attraverso l analisi di indici dimensionali di vario tipo) Individuare potenziali indicatori di rischio e/o sintomi rivelatori di situazioni di frode (Red Flag) Orientare in modo mirato l attività di audit in ottica costo/beneficio, modulando il programma di audit, riducendo i tempi di permanenza degli auditor presso le strutture coinvolte 15
Analisi preliminare: tipologie di indicatori Organizzativi - Organici, Turnover, Assenze - Contenziosi - Deleghe - Altri Economico/finanziari - Confronti consuntivo/budget - Confronti trend per strutture similari - Andamenti periodici (es. su base mensile) - Altri 16
Analisi preliminare: tipologie di indicatori (segue) Gestionali - Anomalie nei dati gestionali (es. disallineamenti nei dati contabili, pendenze nella sistemazione di anomalie contabili ) - Confronti con medie nazionali (benchmark interno) per profili omogenei di struttura - Altri Di Audit - Analisi cruscotto a diversi livelli (di Filiale, Regionale ) - Altri 17
Analisi preliminare: i Red Flag Esempi di indicatori economico/finanziari AMBITO Volumi di operazioni RED FLAG - Spostamenti significativi di volumi tra diversi strumenti di risparmio/investimento concentrati in brevi periodi - Aumento numero di chiusure dei conti correnti POTENZIALI IMPLICAZIONI - Comportament o scorretto verso la clientela - Livello del servizio non soddisfacente 18
Analisi preliminare: i Red Flag Esempi di indicatori gestionali AMBITO RED FLAG POTENZIALI IMPLICAZIONI Rilievi contabili Movimento Fondi - Aumento significativo dei rilievi contabili accesi/da sanare - Numero/valore di sovvenzioni non allineato con l operatività del mese o anomalo rispetto ai mesi precedenti - Errori di contabilizzazio ne/rischio frode - Possibile rischio frode 19
Esecuzione Verifiche Manuale verifiche e campionatura standard Manuale verifiche Campionatura Esempio campionatura Organizzato per macroprocesso, processo e verifica Aggiornato almeno 2 volte l anno Preassegnazione di un rating alle singole verifiche (alto, medio, basso) Manuale gestito automaticamente dal sistema che produce il report di compliance Automazione Identificazione differenziata dei campioni da adottare in base al tipo di processo ed al tipo di struttura Campionatura standard gestita automaticamente dal sistema che consente la produzione del report di compliance Carte di lavoro informatizzate che consentono la gestione del follow-up VII.A.b.1 Apertura ed estinzione deposito titoli n. 10 Dossier Titoli UP Servizio/Presidio n. 20 Dossier Titoli UP Transito/Standard n. 30 Dossier Titoli UP Centrale/Relazione Uniformità e standardizzazione 20
Esecuzione Verifiche Report di compliance automatizzato Verifiche e campionature proposte automaticamente in base a processo/struttura Inserimento esito verifica Visualizzazione automatica diagrammi di non conformità per i diversi processi Non conformità dettagliata per livello del rating (alto, medio, basso) 21
Valutazione struttura Valutazione struttura determinata automaticamente da sistema Valutazione Grado di conformità Conformità complessiva Adeguato 100-95% Adeguato con aree di miglioramento 94-85% Sufficiente con aree critiche 84-80% Non Adeguato 79-70% Carente < 69% Non conformità complessiva 0-5% 6%-15% 16%-20% 21%-30% > 31% ULTERIORI CONDIZIONI Non conformità complessiva >= 4% >=13% >=19% >=27% = Numero Macroprocessi con N.C. >=15% 2 Valutazione sintetica basata su percentuali di non conformità rilevate durante l audit La metodologia attribuisce un peso particolare a determinati processi rilevanti Gli auditor possono rettificare la valutazione in base ad altri elementi di contesto 22
Reporting Direzionale Reporting Direzionale Report per UP 3500 report nel 2003 Sistema Informativo Auditing (DIA) Elaborazione e aggregazione Archivio DIA Il report cruscotto controllo interno evidenzia le sole are di processo dove siano stati rilevati esiti di non conformità superiori al 15% Frequenza semestrale Frequenza quadrimestrale Risk Report Elenco degli UP con valutazione negativa ( non adeguato e carente ) Dettaglio Filiale, riepilogo regionale e nazionale Cruscotto Controllo Interno Sintesi Direzionale Report sulle non conformità rilevate per processo/verifica Dettaglio UP e Filiale C.C.I. Regionale C.C.I. Filiale Destinatari Responsabili regionali di rete (Country Manager - DRT) Responsabili regionali Operation (DRT) Responsabile Nazionale Operation (DRT) Responsabile Nazionale RU (DRT) AD Capo Div Rete Capo Div BancoPosta Resp. nazionale Affari Legali Resp. nazionale Risorse Umane Resp nazionale Amministrazione e Controllo Country Manager Resp.operazioni Direttore Filiale Resp operazioni 23
Fare squadra con le funzioni operative per la gestione del cambiamento Fattori critici di successo Qualità dei processi opportunamente inserita nel piano strategico dell azienda Qualità dei processi/rispetto della normativa inseriti nel sistema incentivante delle strutture operative e di vendita La situazione in Posteitaliane Qualità dei processi inserita nel sistema di valutazione delle strutture di vendita Avvio da parte della Divisione Rete di un programma volto a incrementare la qualità dei processi Forte collaborazione e coordinamento tra funzione Internal Auditing e la divisione Rete (in particolare con la funzione operazioni e la struttura dei responsabili regionali) Valorizzazione e Utilizzo del reporting DIA da parte della Rete 24
Operational Auditing DIA Auditing Processi Finanziari ed Amministrativi 25
Operational auditing Sistema di controllo interno Audit Report Obiettivi del processo Rischi potenziali Rischi effettivi Accettabili? No Sì Controlli efficienti? No Obiettivi di Business: Volume Contenimento costi Efficienza di processo Customer satisfaction Redditività Innovazione/Tecnologia Quota di mercato di Governo: Rispetto della normativa Sicurezza Affidabilità delle informazioni Rilevi principali Altri Rilievi 26
perational audit - approccio e orientamento alla consulenza Sinteticità Notifica dell audit Kick-off meeting Exit Meeting Internal audit report Grado di dettaglio Sintesi e formalizzazione dei risultati Macroanalisi Analiticità Analisi di dettaglio e aggiornamenti Analisi Preliminare Analisi dettagliata e verifica Reporting Kick-off meeting: condivisione perimetro audit e obiettivi del processo; brainstorming criticità Exit meeting: condivisione delle criticità/rischi, suggerimenti dell audit, piano d azione management 27
Monitoraggio a distanza DIA Auditing Processi Finanziari ed Amministrativi 28
2.500% 2.000% 1.500% 1.000% 0. 500% 0. 000% 2. 500% 2. 000% 1. 500% 1. 000% 0.500% 0.000% Mar- Jun- Sep- Dec- Mar- Jun- Sep- 98 98 98 98 99 99 99 Mar- 98 Jun- 98 Sep- 98 Dec- 98 Mar- 99 Jun- 99 Sep- 99 Mar- 98 Jun- 98 Sep- 98 Dec- 98 Mar- 99 Jun- 99 Sep- 99 2. 500% 2. 000% 1. 500% 1. 000% 0. 500% 0. 000% Sistema di monitoraggio a distanza 2 aree di attività Accesso alle applicazioni utente Utilizzo delle applicazioni disponibili presso le strutture operations mediante transazioni di inquiry Analisi delle Banche dati Categoria: Servizi Realizzazione di un cruscotto per l analisi andamentale e dinamica dei processi finanziari al fine di rilevare eventuali situazioni di anomalia Trend Valore Target Actual 40 50 80% 15 75 20% 55 100 55% Performance Frequency Monthly Weekly Daily Key Risk Indicator 29
Processo di monitoraggio a distanza - analisi banche dati Conti correnti Ottiche di analisi (cruscotto) Andamento dei volumi operativi Pianificazione attività di audit Libretti BPF Titoli Datawarehouse Elaborazione ed aggregazione dei dati in base al modello di controllo definito da DIA Andamento anomalie contabili Andamento sospesi Scostamenti Benchmark Input verso Analisi preliminare Indirizzo attività di compliance su strutture mirate Assegni Indicatori compliance Supporto/indir izzo attività di operational Altri Analisi incrociata prodotti di investimento Reporting Direzionale DIA Auditing Processi Finanziari ed Amministrativi 30
Il modello di controllo della DIA per l analisi banche dati: un esempio del sistema di indicatori andamentali Processo Sottoprocessi/Attività Rischi Indicatori Collocamento e gestione titoli per conto terzi Collocamento di titoli obbligazionari Collocamento di titoli obbligazionari Accettazione ordini su conti incapienti Accettazione ordini non coerenti con il profilo di rischio del cliente Importo ordini inseriti con forzatura Numero operazioni non adeguate Movimento fondi e gestione delle giacenze Richiesta sovvenzioni e proposte di versamento Superamento giacenze autorizzate che può implicare - rischio di frodi Numero UP che eccedono le soglie di giacenza autorizzate - rischio di furti 31
Internal Auditing - da funzione di controllo a funzione di business Funzione di business Funzione di controllo Focus sugli obiettivi critici di controllo collegati al business Struttura leggera, per la sola verifica dei controlli Interventi focalizzati ai processi e rischi chiave Produttività potenziata da leve tecnologiche e di knowledge Focalizzazione sulla qualità degli interventi Competenze coerenti alla complessità delle attività e della infrastruttura Requisiti per il cambiamento Trasformazione inserita nella strategia aziendale Comunicazione nuovo posizionamento della Funzione Integrazione delle competenze Ottimizzazione processi con focalizzazione su obiettivi aziendali (ricavi e contenimento dei costi Partecipazione ai comitati strategici e a gruppi di lavoro aziendali (es.valutazione nuovi mercati/prodotti/clienti, evoluzione ICT, ecc.) Supporto ai cambiamenti organizzativi (es. ristrutturazioni, fusioni) Valutazione impatti di nuova normativa esterna Creazione società di audit per i servizi alle società del gruppo 32