I CONTROLLI A DISTANZA L esperienza della BANCA POPOLARE DI SONDRIO La partecipazione al progetto, la scelta di adottare SCD e l implementazione 1
Premessa Le verifiche a distanza rappresentano una tessera fondamentale nell ambito del mosaico del sistema dei controlli interni SCD S.C.I. hanno condotto uno STUDIO DI FATTIBILITÀ con l obbiettivo di definire una soluzione a 360 che contemplasse: - il modello di controllo (metodologia), - la soluzione informatica, - il supporto per gli aspetti organizzativi La presentazione è stata realizzata da Banca Popolare di Sondrio ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione 2
La dimostrazione si ha considerando che... un sistema di controlli a distanza risponde alla necessità di uniformarsi alla normativa secondaria e soddisfa specifiche esigenze aziendali Normativa S C D di vigilanza Working Paper Aspettative aziendali Basilea 02/03 La presentazione è stata realizzata da Banca Popolare di Sondrio ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione 3
La Normativa di Vigilanza Dalle istruzioni di vigilanza per le banche (titolo IV - capitolo 11 - sezione II - sistema dei controlli interni) si evince fra l altro che: L ATTIVITA DI REVISIONE INTERNA E VOLTA: All individuazione di andamenti anomali che presuppone l esame e l aggregazione del patrimonio informativo aziendale in ottica ispettiva, al fine di evidenziare possibili scostamenti dal budget, da performance o devianze rispetto a benchmark All individuazione di violazioni delle procedure e della regolamentazione che richiede l estrazione immediata di eventuali possibili irregolarità o alert, da indagare Alla valutazione della funzionalità del complessivo sistema dei controlli interni la funzionalità complessiva di un modello di controllo può essere utilmente valutata riferendola ai processi di lavoro, avuta presente la situazione aziendale e l evoluzione degli stessi, anche a seguito della revisione dei controlli di linea, di interventi organizzativi e di modifiche procedurali ED E CONDOTTA - NEL CONTINUO - procedura elettronica, cui seguono richiami telefonici o scritti - IN VIA PERIODICA - estrazione ed elaborazione di dati aggregati per periodo - PER ECCEZIONI - individuazione di anomalie o segnali di alert ANCHE ATTRAVERSO VERIFICHE IN LOCO - meglio se guidate 4
Basilea W.P. febbraio 2003 (B.I.S.) Principio 5: 5 le banche devono implementare un processo per monitorare regolarmente i profili di rischio operativo e quantificare l esposizione alle perdite ad essi relative. Dovrebbero esservi regolari rendiconti alla direzione generale ed al consiglio di amministrazione riguardanti informazioni che possano consentire una gestione proattiva del rischio operativo. I KRI utilizzati per misurare la frequency sono più cautelativi della rilevazione delle Perdite perché sono predittivi e non ex-post, inoltre consentono una correzione qualitativa delle perdite 27. le banche dovrebbero individuare degli indicatori che possano essere predittivi della crescita del rischio di perdite future. Questi indicatori (spesso definiti come KRI o early warning indicators ) dovrebbero essere predittivi e riflettere potenziali fonti di rischi operativi, Quando le soglie sono direttamente collegate a tali indicatori, un efficace processo di monitoraggio può portare all identificazione dei rischi chiave in maniera trasparente e permettere alla banca di agire su tali rischi in maniera appropriata. Principio 6: le banche devono adottare politiche, processi e procedure per controllare e/o mitigare i rischi operativi. 36-... Strumenti e programmi di mitigazione dei rischi possono essere utilizzati per ridurre l esposizione, la frequenza e/o la gravità di detti eventi... Il vero grande problema non è la quantificazione delle perdite ma è la RISK MITIGATION 5
Possono essere conseguite solo superando i limiti imposti dalle: risorse disponibili quantità delle informazioni da analizzare qualità delle informazioni da analizzare conoscenze 6 Le aspettative aziendali sui controlli ESTENSIONE ECONOMICITA TEMPESTIVITA CONTINUITA AFFIDABILITA Indispensabile un Sistema STRUMENTI + METODOLOGIA
Da dove siamo partiti Ieri Sistema / archivi di produzione Controlli cablati nelle procedure Estrazioni Archivi Dati specifici per controlli Strumenti Dati/Indici Tabulati La visione organica è raggiunta attraverso il raccordo tra le fonti disponibili ed i possibili controlli NON da un Sistema!! 7
Il nuovo processo dei controlli per l Internal Audit 1 Monitoraggio Operatività W S N E Il passo più importante 2 Quali anomalie? Dove? Quando? Eventuale Ispezione 3 Andare mirati sul problema - Analizzarlo in dettaglio- Risolverlo - 8
Logiche di Funzionamento EVENTO ANOMALIA (KRI) RATING BENCHMARK È il fenomeno che viene rilevato per effettuare il monitoraggio del rischio operativo Importo assegni al protesto (input ) Percentuale assegni al protesto (calcolato) È la situazione che si verifica quando ci si scosta dalla norma a causa di irregolarità Percentuale assegni al protesto elevata (oltre soglia) È il giudizio assegnato ai livelli di analisi, attraverso ponderazioni successive, sulla base del verificarsi delle anomalie e della loro gravità Puntuale IMR (Indice Medio di Rischio) E il valore di confronto dei rating rispetto a dei valori predefiniti o calcolati che rappresentano le situazioni virtuose Benchmark Statico (esterno = best practice) Benchmark Dinamico (interno = situazione media) La presentazione è stata realizzata da Banca Popolare di Sondrio ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione. 9
10 Rating Filiale Il modello di analisi Rating Back Office Rating CdR KRI 1 KRI 2 KRI 3 KRI n PROCESSO 1 Rating P.1 PROCESSO 2 PROCESSO 3 Rating P.2 Rating P.3 Rating Area Informativa PROCESSO n Rating P.4 EVENTO = Dato Aziendale
11 Anomalie KRI, Fatal soglie 20 10 Anomalia 1 % assegni al protesto 6 4 2 20 40 60 80 100 Peso Valore indicatore Valore delle soglie Peso dell anomalia = 60
Operational Risk Management 1. Monitoraggio Statico Analizzare sia i processi che le responsabilità (come funziona, chi lo fa funzionare) 2. Monitoraggio Dinamico Verifica dei trend KRI/Rating Peggioramento Miglioramento t ORM 3. Aspetto importante per ORM Controllo dell attività dell ORM Monitora l analisi dei Processi Monitora l andamento e favorisce la Risk Mitigation Correzione qualitativa dell allocazione di Capitale 4. Norma e controlla buona parte del modello dei Controlli Interni Processi, regole, struttura organizzativa (funzioni), processi 12
Progetto Banca Popolare di Sondrio Approccio modulare A B C Studio Modello generale Installazione Area Incassi e Pagamenti estrattori Area Crediti AUI estrattori Area Intermed. Mobiliare Integrazione con Progetto ORM Passaggio Passaggio in in produzione produzione La presentazione è stata realizzata da Banca Popolare di Sondrio ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione. 13
Caratteristiche dello Strumento Governo Archivi alimentanti Sistema Tabellare Autonomo User friendly Autodocumentativo KRI RATING Tracciabilità dati. Early warning Navigazione Dati Autonomo Completa libertà di interrogazione/navigazione dati Distribuzione dati (gestori / utenti) Navigatore Motore Facilmente alimentabile Studiato per alti volumi Ottime performance Prodotto industriale (manutenzione / tempi di progetto / qualità) EDP no problem 14
Il raggio di azione di SCD Potenzialmente tutti gli ambiti e i settori aziendali PERCHÉ ALLORA PRIVILEGIARE LE UNITÀ PERIFERICHE? processi analoghi individuazione di dipendenze omogenee l esperienza l estrazione di benchmark la guida ai controlli in loco l onerosità dei sopralluoghi ispettivi Aspetto PRAGMATICO Portare SUBITO risultati concreti La presentazione è stata realizzata da Banca Popolare di Sondrio ed è riservata esclusivamente ai soci CeTIF. La riproduzione e la diffusione anche parziale della stessa non è pertanto consentita se non previa autorizzazione risparmi di tempo nelle azioni correttive stimabili fino al 60% con conseguente risparmio dei costi che può portare al pareggio dell investimento in circa 2 anni 15