Controllo a distanza di reti commerciali e bancarie
Transcript
Controllo a distanza di reti commerciali e bancarie
Il controllo a distanza di reti commerciali e bancarie L’esperienza di Banca Fideuram Pierluigi Cipolloni Responsabile Direzione Audit Convegno Nazionale AIEA Livorno, 24 maggio 2007 Indice Indice Internal Auditing: da funzione di controllo a funzione di business Premessa Pilastri ed obiettivi del SCI Figure di riferimento del SCI Struttura e dinamiche dell’Internal Audit L’ esperienza di Banca Fideuram Considerazioni generali Il contesto operativo di riferimento L’assetto Organizzativo della Direzione Audit La mission dell ‘Audit Fideuram I principali driver di cambiamento Fideuram Il sistema di monitoraggio informatico a distanza Dati di sintesi Attività di audit sulle filiali Considerazioni conclusive 1 I.A .: da funzione di controllo a funzione di business I.A.: Premessa L’evoluzione della normativa e le forti indicazioni provenienti dal Comitato di Basilea e dagli Organi di Vigilanza hanno sempre più orientato gli operatori del sistema bancario a focalizzare l’attenzione verso uno dei temi fondamentali quali l’Internal Auditing. Il ruolo fondamentale di tale funzione consiste nell’essere sponsor di una cultura del presidio del rischio per l’intera impresa comportando il passaggio da una filosofia orientata ai controlli ex post ad un approccio orientato alla prevenzione, business ed ai controlli ex ante 2 I.A .: da funzione di controllo a funzione di business I.A.: Pilastri ed obiettivi del SCI Pilastri Obiettivi Controllo come parte integrante delle procedure operative quotidiane dell’azienda, svolto dalle unità operative e supervisionato dai responsabili di processo o dai responsabili delle unità operative di business. Esistenza di una funzione indipendente da quella operativa per la valutazione dell’efficienza e dell’efficacia del sistema. 3 99Salvaguardia Salvaguardiaeeprotezione protezione del patrimonio aziendale del patrimonio aziendale 99Conformità Conformitàdelle delle operazioni alle operazioni allenormative normative interne ed esterne interne ed esterne 99Efficacia Efficaciaed edefficienza efficienzadei dei processi processi 99Integrità, Integrità,tempestività tempestivitàed ed affidabilità affidabilitàdelle delle informazioni informazionicontabili contabiliee gestionali gestionali I.A .: da funzione di controllo a funzione di business I.A.: Figure di riferimento del SCI Una solida gestione aziendale dipende dalle sinergie generate dalle principali componenti della Corporate Governance. Il Consiglio di Amministrazione 9approva orientamenti strategici e politiche di gestione e rilevazione dei rischi; 9approva la struttura organizzativa; 9assicura la definizione di un sistema informativo corretto, completo e tempestivo; 9avvalla il sistema di regole, procedure e strutture organizzative del SCI. Il Comitato Tecnico per il Controllo Interno Assiste il Consiglio di Amministrazione nel fissare le linee di indirizzo del SCI e ne verifica periodicamente l’adeguatezza. In relazione alle funzioni di Organismo di VigiIanza ai sensi dell’art.6, D.Lgs.8 giugno 2001 n.231 vigila sull’effettiva capacità dei Modelli di prevenire la commissione dei reati previsti dal Decreto. SCI L’Internal Audit Rappresenta il livello di controllo più elevato del SCI. L’attività viene svolta da Internal Audit una struttura indipendente diversa da quella produttiva attraverso sistemi di monitoraggio e di controllo a distanza nonché verifiche in loco tese ad individuare andamenti anomali, violazioni delle procedure e della regolamentazione interna ed esterna. 4 L’Alta Direzione Assicura l’istituzione e il mantenimento di un SCI efficiente ed efficace tramite: 9la corretta gestione dell’operatività e dei rischi connessi, definendo politiche e procedure di controllo appropriate; 9la definizione dei compiti delle unità operative dedicate a funzioni di controllo, assicurando personale qualificato; 9la definizione di flussi informativi che assicurino al Consiglio di Amministrazione piena governabilità dei fatti aziendali. Il Collegio Sindacale Ha compiti di verifica del regolare svolgimento dell’attività aziendale e della correttezza delle procedure amm. contabili avvalendosi dell’IA La Revisione Esterna Oltre ad esprimere giudizi professionali sulla conformità dei bilanci dell’intermediario rispetto alle norme valuta il rischio di controllo per identificare il rischio di revisione complessivo. I.A .: da funzione di controllo a funzione di business I.A.: Struttura e dinamiche dell ’Internal Audit dell’Internal L’Internal Auditing è un’attività indipendente ed obiettiva di assurance e consulenza finalizzata al miglioramento dell’efficacia e dell’efficienza dell’organizzazione aziendale.* Assiste l’Alta Direzione nel perseguimento dei propri obiettivi tramite un approccio professionale sistematico, che genera valore aggiunto, in quanto finalizzato a valutare e migliorare i processi di controllo, di gestione dei rischi e di Corporate Governance. * definizione dell’Institute of Internal Auditing 5 Posizionamento dell’Internal Audit Internal Audit Controlli di secondo livello (i.e. risk management, controlli direzionali/gerarchici) Controlli di primo livello I.A .: da funzione di controllo a funzione di business I.A.: Struttura e dinamiche dell ’Internal Audit dell’Internal L’Internal Audit: 9 Utilizza tecniche di Risk Assessment per valutare l’adeguatezza del SCI; 9 Attua verifiche preventive (ex ante) integrate con interventi ex post sulle funzionalità dei controlli di 1° e 2° livello 9 Favorisce la diffusione della “cultura del controllo” 9 Propone l’attivazione di nuovi controlli se i relativi costi risultano proporzionali ai rischi emergenti 9 Crea valore aggiunto per la Banca valutando i rischi di business alla luce degli obiettivi e delle strategie seguite dall’organizzazione 9 Utilizza una pianificazione strategica pluriennale basata sull’analisi dei rischi, definendone la priorità in base alla rilevanza e alla probabilità di accadimento 9 Imposta una pianificazione annuale avvalendosi di tecniche di “project management” e di adeguati strumenti informatici 9 Sviluppa l’utilizzo di standard specifici (ad es. Coso, BS 17799, CobiT). 6 L ’esperienza di Banca Fideuram L’esperienza Considerazioni generali I dati europei dell’Economic Crime Survey 2005 edito da PWC indica il settore bancario come uno dei comparti più a rischio di frodi. Il danno finanziario medio per azienda risulta pari a 3,1 Mln €, coinvolgendo il 25% delle aziende Italiane. Risulta probabile inoltre che tali dati, in quanto sensibili, siano sottostimati. In ordine all’importanza dell’attività di Auditing, a livello domestico risulta una correlazione tra la scoperta delle irregolarità e la diffusione dei fenomeni pari al 33%. L’ottimizzazione degli strumenti informatici e dei processi metodologici volti alla mitigazione dei rischi ha permesso a Banca Fideuram di raggiungere una percentuale pari al 43% di illeciti individuati attraverso sistemi di Internal Auditing. 7 L ’esperienza di Banca Fideuram L’esperienza Considerazioni generali Il danno inflitto da un appropriazione va oltre la diretta perdita monetaria. Asset come il patrimonio relazionale, la reputazione e il branding, e nel complesso l’intero valore aziendale, possono risultare significativamente coinvolti. Tali impatti ovviamente risultano in gran parte dipendenti dalla gravità dell’irregolarità commessa. % Aziende soggette a frodi L’impatto della frode sulle Aziende (Italia) (Italia) 57% Reputazio ne/Immagine A ziende so ggette a fro di 25% A ziende no n so ggette a fro di 4% Quo tazio ne azio naria 75% M o rale dipendenti 43% Danni alle relazio ni di business 43% 0% Fonte: ECS 2005 8 10% 20% 30% 40% 50% 60% % aziende interessate L ’esperienza di Banca Fideuram L’esperienza Il contesto operativo di riferimento riferimento La tabella seguente illustra i principali dati di riferimento al 31/12/2006: 9 9 9 9 9 9 9 9 4.215 Private Banker 256 Uffici dei Private Banker 94 Filiali al servizio dei clienti e dei Private Banker 1.106 dipendenti 665.000 clienti € 67,6 miliardi di Asset Under Management (57,2 BF; 10,4 SPI) € 225 milioni di utile netto consolidato R.O.E. 30,9% 9 L ’esperienza di Banca Fideuram L’esperienza L ’assetto Organizzativo della Direzione Audit L’assetto Di seguito si presenta la struttura organizzativa dell’Internal Audit Banca Fideuram al 31/03/2007. DIREZIONE DIREZIONE AUDIT AUDIT Nucleo Reclami Supporto Segretariale 44 11 AUDIT RETI 31 31 AUDIT DIREZIONI E SOCIETA’ CONTROLLATE 10 COMPLIANCE 13 13 33 L ’esperienza di Banca Fideuram L’esperienza L ’assetto Organizzativo della Direzione Audit L’assetto DIREZIONE AUDIT 53 risorse 66 Audit Reti 33 33 Funzione Funzione Audit Audit Reti Reti Audit Direzioni Compliance Società Controllate 13 33 13 31 risorse Il 58% delle risorse della Direzione Audit È preposta ai controlli sull’operato dei promotori finanziari e dei segnalatori appartenenti alle reti di Banca Fideuram e Sanpaolo Invest Sim. Al fine di ottimizzare la contiguità operativa con il controllo sull’operato dei promotori delle due reti distributive che operano sulla rete Filiali di Banca Fideuram ed accrescere pertanto le possibilità di cogliere eventuali “segnali” di attenzione sul comportamento dei promotori stessi, esegue l’attività di audit anche sulle strutture bancarie periferiche. 11 L ’esperienza di Banca Fideuram L’esperienza La mission dell ‘‘Audit Audit Fideuram AUDIT RETI è dedicata ai controlli ed alle verifiche sulle Reti di Banca Fideuram e di Sanpaolo Invest; AUDIT DIREZIONI E SOCIETA’ CONTROLLATE ha il compito di pianificare e svolgere l' Auditing ed il controllo interno sulle strutture organizzative della Banca e sulle Società controllate COMPLIANCE verifica l'osservanza della normativa di legge e di settore sulle attività svolte dalla Banca NUCLEO RECLAMI è preposta alla corretta tenuta del registro reclami. 12 L ’esperienza di Banca Fideuram L’esperienza I principali driver di cambiamento cambiamento Fideuram Fideuram Tra i principali linee di sviluppo del modello di Controllo: 9 Evoluzione del modello culturale da “Ispettorato” ad “ Internal Audit”; 9 Massimizzazione delle logiche di risultato tramite l’utilizzo di nuovi indicatori di anomalia (KRI) e di tecnologie informatiche evolute; 9 Attività di Operational Auditing trasversali tra la Banca e le Società del Gruppo; 9 Impiego in produzione di un evoluto sistema di controllo a distanza sui comportamenti dei Private Banker e sull’operato delle filiali bancarie 9 Partecipazione della Direzione ai lavori della Commissione Tecnica per Revisione del Codice di Vigilanza di Assoreti ed alla Commissione del settore finanziario dell’Associazione Italiana Internal Auditing. 13 L ’esperienza di Banca Fideuram L’esperienza I principali driver di cambiamento cambiamento Fideuram Fideuram In tale contesto sono destinate a cambiare le finalità dei controlli interni non più intesi solo come verifiche della correttezza formale e sostanziale alle attività, ma anche come monitoraggio costante delle capacità della Banca di raggiungere i propri obiettivi e di adeguarli al mutare del contesto esterno. La Direzione Audit, indipendentemente dall’area supervisionata (Reti/Banking/Società/IT), opera quindi a tre diversi livelli: 1) costruzione e diffusione di strumenti di verifica e indici di rischio delle attività 2) monitoraggio costante a distanza dell’operatività 14 3) intervento immediato e mirato in presenza di fenomeni anomali L ’esperienza di Banca Fideuram L’esperienza I principali driver di cambiamento cambiamento Fideuram Fideuram L’impostazione organizzativa poggia su: rinforzo quali-quantitativo della Direzione, attraverso l’inserimento di qualificate risorse provenienti dall’esterno. ricorso significativo alle tecnologie per la realizzazione di strumenti di intelligence In tale ambito, risulta privilegiato sempre più l’aspetto preventivo del controllo, sia da parte della Direzione Audit, sia da parte delle unità operative (sede/filiale/struttura manageriale di Rete) affinché il sistema dei controlli interni (SCI) nel suo più ampio contesto, risulti concreto ed efficace; anche considerata l’importanza che nell’ambito del sistema dei controlli interni, rivestono i controlli di linea effettuati dalle stesse strutture produttive (i.e. controlli di tipo gerarchico) o incorporati nelle procedure ovvero eseguiti nell’ambito dell’attività di back-office. 15 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza Il Progetto La revisione è stata modulata secondo tre driver principali: 1) Avvio del progetto sulle esperienze maturate sul campo 3) Analisi di dati ed informazioni estratte dagli archivi informatici di Banca Fideuram e di terzi 2) Tecnologie informatiche intranet e ricorso a strumenti statistici 16 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza Gli obiettivi 9 Definire coefficienti di rischio delle varie attività monitorate (202 fenomeni); 9 Progettare indicatori statistici più evoluti per Fraud Audit e Compliance Audit, coerenti con il Codice di Vigilanza Assoreti (per quanto attiene all’operato dei PB); 9 Predisporre un assetto metodologico omogeneo per l’esecuzione di verifiche e controlli a distanza; 9 Orientare gli interventi di Audit, migliorandone la tempestività e la selettività tramite indicatori di early warning per il controllo a distanza; 9 Assicurare completezza e dinamicità delle verifiche ispettive sulla base delle esperienze acquisite nell’ambito di specifici case history. 17 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza Il focus sull’evoluzione 9 Definizione puntuale di differenti specifiche di comportamento da sottoporre a monitoraggio con la definizione analitica di schede di controllo ispettivo 9 Attribuzione di coefficienti di ponderazione dei differenti valori di rischio connessi con i vari fenomeni/indicatori per monitorare le varie tipologie di comportamenti potenzialmente anomali 9 Gestione degli indicatori flessibile e multirete predisposta per analizzare e verificare a distanza i singoli fenomeni/indicatori ovvero la loro dimensione nell’insieme aziendale ordinati per singolo attore 9 Il valore rischio fenomeno, le regole di estrazione, i fattori moltiplicativi e il valore rischio ruolo contribuiscono a determinare l’importanza e la valenza ai fini del sistema di controllo a distanza 18 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza: ll’impianto ’impianto organizzativo Database operazionali Delta settimanali Il monitoraggio permette di analizzare i fenomeni rilevati Monitoraggio attività I fenomeni degni di attenzione sono sottomessi a verifica Gestione verifiche Rilevazioni settimanali Le rilevazioni sono storicizzate su base settimanale Verbalizzazione Le rilevazioni vengono etichettate come verificate e non concorrono più nella determinazione della posizione di rischio dell’attore 19 Quando il fenomeno viene esaminato, si procede alla registrazione della verifica L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza : i flussi Log TP Log TP di di sportello sportello Titoli: Titoli: Ordini Ordini Eseguiti Eseguiti Saldi Saldi Bonifici Bonifici Italia Italia Estero Estero Reclami Reclami Segnala Segnala zioni zioni ....... ....... Dati Dati SIMPB SIMPB WEB WEB ....... ....... Host STAGING AREA Host/Dipartimentale Dipartimentale 20 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza : i flussi STAGING STAGING AREA AREA E’ E’ un un area, area, situata situata su su host host oo dipartimentale, dipartimentale, utilizzata utilizzata per per parcheggiare parcheggiare ee consolidare consolidare tutti tutti quei quei flussi flussi provenienti provenienti dai dai vari vari sistemi sistemi nella nella fase fase che che precede precede l’alimentazione l’alimentazione della della base base dati dati applicativa. applicativa. Consente Consente di di sincronizzare sincronizzare tutti tutti ii dati dati generati generati con con periodicità periodicità diverse diverse dai dai differenti differenti sistemi sistemi interni interni alla alla banca, banca, prima prima di di essere essere inviati inviati al al sistema sistema dipartimentale dipartimentale Permette Permette un un controllo controllo sulla sulla qualità qualità dei dei dati dati Ambiente Ambiente di di backup backup Unico Unico punto punto di di controllo, controllo, raccolta raccolta ee smistamento smistamento dei dei dati dati 21 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza : il modello logico del rischio Parametri • Definizione parametri per la trasformazione del fenomeno in indicatore: – regole di estrazione dalle procedure IT delle operazioni – valore di rischio per la banca legato al fenomeno – valore di rischio legato al singolo attore • Modello statistico per la determinazione delle soglie di segnalazione • Elaborazione dell’indicatore di sintesi del rischio del fenomeno per l’attore espressa come: –valore puntuale –fascia di rischio 22 L’esperienza di Banca Fideuram Il sistema di monitoraggio informatico a distanza : tipologie di fenomeni monitorati Conti Conti Correnti Correnti Bonifici Bonifici Italia Italia ed ed Estero Estero Operatività Operatività in in Titoli Titoli Crediti Crediti (Fidi) (Fidi) Prodotti Prodotti Assicurativi Assicurativi Centrale Centrale Rischi Rischi Fondi Fondi ee Gestioni Gestioni Provvigioni Provvigioni Domiciliazioni Domiciliazioni Gestione Gestione clienti clienti Liquidazioni Liquidazioni Reclami Reclami 23 L ’esperienza di Banca Fideuram L’esperienza Il sistema di monitoraggio informatico a distanza : i fenomeni e gli attori FENOMENI Conti Conti Correnti Correnti Titoli Titoli Fondi Fondiee Gestioni Gestioni Prodotti Prodotti Assicurativi Assicurativi Crediti, Crediti,Mutui Mutuiee Prestiti Prestiti MODELLO LOGICO DEL RISCHIO SCHEDA SCHEDA RILEVAZIONE CONTROLLO RISCHIO ISPETTIVO MODELLO STATISTICO DI ANALISI Auditors INDICATORI Operatore Bancario Promotore Finanziario ATTORI 24 Promotore Finanziario e Cliente L’esperienza di Banca Fideuram Il sistema di monitoraggio informatico a distanza : l’utilizzo degli indicatori “DB Indicatori” Approccio per segnale Evidenziazione e monitoraggio di una selezione di indicatori ritenuti più rilevanti PF Indicatori ... 2 2,18 -1,5 ... 1 2,23 B 0,81 N.A. ... -1,2 0,75 C ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... 1 2,1 ... -2,1 1,1 1,5 1,9 ... -1,2 A D E F 3.127 Media 1 ... 202 Media Approccio per attore Attivazione delle verifiche sui promotori in base a classifica generale dei promotori elaborata sul totale degli indicatori 25 L’esperienza di Banca Fideuram Dati di Sintesi 2006 - Consolidato Copertura 2006 PB Rete BF/SPI Output Verbali Report SIA Reclami ** 396 6.000 3.500 5.000 3.000 740 4.000 2.500 494 3.027 805 2.320 804 2.000 3.000 3.377 1.500 2.851 2.000 1.000 940 1.000 - Totale verifiche 291 630 500 717 820 - 2004 2005 2006 1.861 4.372 4.937 Report SIA Verbali Reclami Sovrapposizioni TOTALE - Nel 2006 la copertura delle Reti BF/SPI ha raggiunto il 72%. Le verifiche effettuate sono distribuite su tutto il territorio * Il dato sui reclami include gli atti di citazione 26 L’esperienza di Banca Fideuram Dati di Sintesi 2006 - Consolidato Contribuzione rilevazione Illeciti 14% Indicato ControllireaSIA distanza Fo llo w Up Reclamo 7% Segnalazio ne Interna 14% 65% 27 I Fattori di indirizzo Segnalazione interna, Controlli a distanza e Reclamo hanno contribuito maggiormente alla rilevazione degli Illeciti. L’esperienza di Banca Fideuram Audit sulle filiali Attività in Sede Attività in loco Reportistica Analisi indicatori a distanza specifici, verifica singole posizioni (contabili interne o riconducibili a clienti), individuazione campionatura documenti da esaminare in loco. Analisi processi e compliance relativa alle Aree Crediti, Titoli ed Esecutivo. Condivisione con Responsabili delle anomalie rilevate. Redazione verbale di audit ed inoltro. 28 L ’esperienza di Banca Fideuram L’esperienza Considerazioni conclusive Si è innestato un processo di cambiamento culturale della Direzione Audit e di rafforzamento dei presidi operativi attuato anche attraverso il piano di recruiting. Il ricorso a tecnologie informatiche avanzate per il controllo a distanza e ad adeguati strumenti statistici hanno favorito la realizzazione di un efficace sistema di controllo a distanza. Tali fattori hanno pertanto consentito l’esecuzione di attività ispettive più approfondite che, quindi, hanno comportato una maggior frequenza di accertamenti a fronte di comportamenti non corretti che, conseguentemente, sono stati oggetto di comunicazione agli Organi di Vigilanza. Il consolidamento delle tecnologie impiegate consente inoltre una verifica costante sui Private Banker e sulle Reti bancarie mediante l’impiego di indicatori di anomalia rappresentativi di comportamenti potenzialmente forieri di fenomeni appropriativi o malversativi. 29