3. Le funzioni di controllo nel processo di revisione prudenziale
Transcript
3. Le funzioni di controllo nel processo di revisione prudenziale
AICOM - AIIA Milano, 2 luglio 2008 Le funzioni di Internal Audit e di Compliance: ruoli, responsabilità e ambiti di rispettiva competenza Claudio Clemente Capo del Servizio Vigilanza sugli Enti Creditizi della Banca d’Italia Agenda dell’intervento 1. Il paper elaborato da AICOM e AIIA 2. Contributo delle funzioni di controllo alla creazione di valore 1. Le funzioni di controllo nel processo di revisione prudenziale 2. Conclusioni Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -2- 1. Il paper elaborato da AICOM e AIIA Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -3- 1. Il paper elaborato da AICOM e AIIA Il lavoro svolto dalle due Associazioni è teso a declinare su un piano operativo le distinte finalità assegnate dalla normativa alle due funzioni di controllo. Internal Audit: valuta la funzionalità del complessivo sistema dei controlli interni; accerta, anche con verifiche in loco, la regolarità dell'operatività e l'andamento dei rischi Æ piano di verifiche risk based; Compliance: verifica la coerenza dei processi con l’obiettivo di prevenire la violazione delle norme di etero e autoregolamentazione, in un’ottica di presidio dei rischi di non conformità e di reputazione Obiettivo condiviso diffusione di una cultura incentrata sulla piena consapevolezza dei rischi e sul rispetto delle regole Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -4- 1. Il paper elaborato da AICOM e AIIA I contenuti del documento elaborato da AICOM e AIIA risultano nel complesso coerenti con le disposizioni di vigilanza. Ô Valorizzazione di tutte le attività di compliance: Identificazione nel continuo delle norme applicabili e verifica dell’adeguatezza di processi e procedure ad assicurarne il rispetto supporto consulenziale e formazione verifica dell’effettività e della permanenza delle condizioni di conformità ÆAd un anno dall’entrata in vigore delle norme, occorre verificare che la funzione svolga in concreto tutte le attività sopra richiamate . Ô Coinvolgimento della funzione di Compliance nella fase di definizione e avvio di tutti i progetti innovativi e nella revisione di processi e procedure ÆNecessario al fine di garantire nel tempo l’adeguatezza dei presidi di conformità Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -5- . 1. Il paper elaborato da AICOM e AIIA Ô Richiamo alla necessità di una adeguata definizione delle modalità di coordinamento e raccordo con l’Internal Audit (e con le altre funzioni aziendali di controllo), in un’ottica di: condivisione di informazioni minimizzazione delle aree di possibile sovrapposizione Æ Formalizzazione di appositi mandati nei quali trovino puntuale indicazione gli ambiti e le modalità di intervento di ciascuna funzione Æ Definizione delle modalità di collaborazione in un’ottica di integrazione/coordinamento dei piani di attività (accordi di servizio) Æ Individuazione di momenti di confronto periodico (Comitato di Audit, Comitato di controllo interno,…) Si richiama l’attenzione …sull’esigenza che la definizione di accordi di servizio non faccia venir meno l’indipendenza dell’Internal Audit, che conserva le responsabilità inerenti alla propria mission Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -6- 2. Contributo delle funzioni di controllo alla creazione di valore Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -7- 2. Contributo delle funzioni di controllo alla creazione di valore Come evidenziato nel documento elaborato da AICOM-AIIA, la revisione dell’architettura del sistema dei controlli interni non va affrontata come mero adempimento formale, ma come opportunità L’attività di compliance deve costituire uno strumento proattivo di prevenzione del rischio di non conformità in un’ottica di creazione di valore La revisione degli snodi operativi tra le diverse funzioni di controllo deve essere finalizzata ad incrementare l’efficacia e l’efficienza dei presidi e ad allinearne l’assetto alle best practices internazionali Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -8- 2. Contributo delle funzioni di controllo alla creazione di valore La funzione di Compliance: contribuisce concretamente ad accrescere aziendale e a ridurre la volatilità degli utili la redditività 9 prevenendo perdite finanziarie/sanzioni 9 evitando contrazioni del business per danni reputazionali 9 favorendo una positiva valutazione da parte delle società di rating e degli investitori istituzionali rafforza e stabilizza il rapporto fiduciario con la clientela e, più in generale, con tutti gli stakeholders, contribuendo al perseguimento di obiettivi di sviluppo di lungo periodo attraverso la protezione del marchio e della Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 -9- reputazione 3. Le funzioni di controllo nel processo di revisione prudenziale Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 10 - 3. Le funzioni di controllo nel processo di revisione prudenziale Nel framework regolamentare di Basilea 2, l’esposizione della banca al rischio reputazionale e la qualità dei presidi che ne assicurano il contenimento assumono specifico rilievo nell’ambito delle valutazioni delle banche e dell’Organo di vigilanza – previste dal II PILASTRO: ICAAP Capitale interno ICAAP Le banche identificano e misurano i rischi aziendali rilevanti e determinano l’ammontare di risorse patrimoniali e i processi organizzativi e di controllo necessari Valutazioni e a fronteggiarli, nell’ambito interventi del contesto strategico di di vigilanza riferimento Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 SREP - 11 - SREP L’Autorità di Vigilanza verifica il processo valutativo accertando che gli intermediari si dotino di presidi di natura patrimoniale e organizzativa appropriati rispetto ai rischi assunti e richiede eventuali misure correttive 3. Le funzioni di controllo nel processo di revisione prudenziale Occorre tener conto delle tipologie di rischio più rilevanti avuto riguardo all’operatività e ai mercati di riferimento della banca, nonché delle sue strategie e prospettive future. L’analisi deve considerare almeno i rischi riportati dalle Nuove Disposizioni di vigilanza prudenziale, tra i quali è annoverato il rischio reputazionale. Rischio di credito Rischi di mercato Esigenze patrimoniali prospettiche Rischio di Concentrazione Patrimonio Rischio di tasso d’interesse Rischio di Liquidità (linee guida) Stress testing Rischio strategico Rischi operativi Rischio reputazionale Altri rischi Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 12 - Assetti organizzativi e di controllo 3. Le funzioni di controllo nel processo di revisione prudenziale Le difficoltà connesse con la QUANTIFICAZIONE dei rischi di reputazione rende necessario incentrare l’analisi di adeguatezza del presidio sulla qualità degli assetti organizzativi e di controllo: ¾ livello di consapevolezza degli organi di vertice in ordine alla rilevanza della tematica ¾ efficacia dell’azione attuativa del Direttore generale (Consiglio di gestione, nel modello dualistico) ¾ promozione di una cultura dell’eticità e della correttezza dei comportamenti; ¾ adeguata gestione delle relazioni con gli stakeholders ¾ idoneità dei sistemi di gestione e contenimento del rischio Rispetto sostanziale dei requisiti minimi di idoneità organizzativa della funzione di Compliance previsti dalle disposizioni Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 13 - 3. Le funzioni di controllo nel processo di revisione prudenziale Per apprezzare l’idoneità della funzione di Compliance a presidiare adeguatamente il rischio reputazionale, l’OdV valuterà in che misura le soluzioni adottate dai soggetti vigilati assicurino il rispetto anche sostanziale delle disposizioni in materia di Conformità POSIZIONAMENTO ORGANIZZATIVO 9Separatezza (tra Compliance e Internal Audit; coordinamento e chiara individuazione di responsabilità) 9Indipendenza (valutazione dei conflitti di interesse in caso di abbinamento con altra funzione; indipendenza sostanziale dei referenti in ipotesi di adozione di un modello di presidio “decentrato”) Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 14 - 3. Le funzioni di controllo nel processo di revisione prudenziale L’OdV valuterà l’idoneità del presidio di compliance ad intercettare prontamente i rischi di non conformità e a quantificarne la rilevanza 9Ricognizione periodica delle aree a maggior rischio di compliance 9Presidio degli ambiti indicati dalle disposizioni di vigilanza: norme più rilevanti e altre aree di intervento (Æ sistemi retributivi e incentivanti) 9Presidio dei processi volti ad assicurare il rispetto delle regole di vigilanza prudenziale 9Coinvolgimento della funzione da parte dell’Organo di Vigilanza Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 15 - 3. Le funzioni di controllo nel processo di revisione prudenziale Le previsioni del II pilastro consentono di riconnettere all’istituzione di forti presidi di Internal Audit e di Compliance un ulteriore potenziale vantaggio economico Al termine del processo valutativo, ove siano riscontrate carenze o inadeguatezze nel presidio dei rischi, l’Organo di vigilanza richiede opportuni INTERVENTI CORRETTIVI (Æ proporzionalità): - rafforzamento del sistema dei controlli interni - contenimento dei rischi (Æ divieto di effettuare categorie di operazioni) - riduzione dei rischi (Æ restrizioni ad attività o alla struttura territoriale) - divieto di distribuzione degli utili (o di altre poste patrimoniali) In tale ambito è altresì possibile l’assunzione di provvedimenti incrementativi della misura dei requisiti patrimoniali, in particolare in presenza di rilevanti carenze nella struttura organizzativa e dei controlli. Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 16 - 3. Le funzioni di controllo nel processo di revisione prudenziale La centralità del sistema dei controlli interni nella vita aziendale si riafferma nell’ambito delle Disposizioni di vigilanza in materia di organizzazione e governo societario emanate nel marzo 2008: ¾ modalità di nomina dei responsabili delle funzioni di revisione interna e di conformità: decisione collegiale dell’organo di gestione (non delegabile), con la partecipazione dei componenti non esecutivi, previo “parere” dell’organo di controllo; ¾ opportunità di consultare l’organo dell’architettura dei controlli; ¾ flussi informativi: le relazioni dell’internal audit e della compliance devono essere direttamente trasmesse agli organi aziendali; ¾ forme di retribuzione collegate alla performance aziendale sono di norma da evitare per responsabile compliance e audit, mentre sono opportune forme di incentivazione coerenti con i compiti loro affidati. Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 17 - di controllo nella definizione 5. Conclusioni Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 18 - 5. Conclusioni Ô Le maggiori complessità del contesto operativo, la crescente sofisticazione dell’attività bancaria, il vaglio sempre più attento degli stakeholders portano ad assegnare al sistema dei controlli interni un ruolo centrale per lo sviluppo in sicurezza del business e, conseguentemente, nell’ambito delle valutazioni di Vigilanza. Ô Alle necessità che ne conseguono - di elevare la consapevolezza dei profili di rischio assunti e di perseguire un costante miglioramento dell’efficacia dei sistemi che consentono di governali - si ricollega la moltiplicazione delle disposizioni che disciplinano figure professionali incaricate di compiti di controllo. Ô Alla funzione di Internal Audit prevista dalle Istruzioni di vigilanza del 1999, si è affiancata una nuova funzione di gestione del rischio cui risultano assegnate specifiche attribuzioni in materia di conformità. Ô L’interesse pubblico sotteso all’intervento regolamentare del luglio 2007 in materia di Conformità coincide con l’interesse degli intermediari a elevare gli standard di efficienza e sicurezza e quindi accresce gli incentivi alla creazione di valore per l’impresa. Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 19 - 5. Conclusioni Ô L’introduzione della funzione di Compliance ha rappresentato, rappresenta, un significativo momento di discontinuità per gli assetti organizzativi delle banche e un’importante opportunità strategica. Ô Al fine di valorizzare tutte le implicazioni positive attese dall’attivazione del nuovo presidio è necessario assicurarne la piena integrazione nella realtà aziendale: alle banche è richiesto di rivedere il modello delle relazioni gerarchiche e funzionali tra tutte le strutture a vario titolo coinvolte nel processo di gestione del rischio di compliance, di ricalibrarne le responsabilità, di sperimentare nuove forme di coordinamento e collaborazione tra le funzioni di controllo. Ô Le scelte che ciascuna azienda avrà effettuato nel rispetto dei principi generali enunciati dalla normativa di riferimento, troveranno un momento di verifica dialettica anche con l’Organo di vigilanza. Nell’ambito del processo di revisione prudenziale, nel valorizzare la flessibilità insita nella normativa di riferimento - principle based – verrà verificata l’efficacia delle soluzioni adottate dalle banche al fine di assicurare il perseguimento di un adeguato presidio del rischio di compliance. Le funzioni di Internal Audit e di Compliance C. Clemente, 2 luglio 2008 - 20 -