Controllo a distanza di reti commerciali e bancarie

Transcript

Il controllo a distanza di reti commerciali e bancarie
L’esperienza di Banca Fideuram
Pierluigi Cipolloni
Responsabile Direzione Audit
Convegno Nazionale AIEA
Livorno, 24 maggio 2007
Indice
Indice
Internal Auditing: da funzione di controllo a funzione di business

Premessa
Pilastri ed obiettivi del SCI
Figure di riferimento del SCI
Struttura e dinamiche dell’Internal Audit
L’ esperienza di Banca Fideuram

Considerazioni generali
Il contesto operativo di riferimento
L’assetto Organizzativo della Direzione Audit
La mission dell ‘Audit Fideuram
I principali driver di cambiamento Fideuram
Il sistema di monitoraggio informatico a distanza
Dati di sintesi
Attività di audit sulle filiali
Considerazioni conclusive
1
I.A
.: da funzione di controllo a funzione di business
I.A.:
Premessa
L’evoluzione della normativa e le forti indicazioni provenienti dal
Comitato di Basilea e dagli Organi di Vigilanza hanno sempre più
orientato gli operatori del sistema bancario a focalizzare l’attenzione
verso uno dei temi fondamentali quali l’Internal Auditing.
Il ruolo fondamentale di tale funzione consiste nell’essere sponsor di
una cultura del presidio del rischio per l’intera impresa comportando il
passaggio da una filosofia orientata ai controlli ex post ad un approccio
orientato alla prevenzione, business ed ai controlli ex ante
2
I.A
I.A.:
Pilastri ed obiettivi del SCI
Pilastri
Obiettivi
Controllo come parte integrante delle
procedure
operative
quotidiane
dell’azienda, svolto dalle unità operative e
supervisionato
dai
responsabili
di
processo o dai responsabili delle unità
operative di business.
Esistenza di una funzione indipendente
da quella operativa per la valutazione
dell’efficienza e dell’efficacia del sistema.
3
99Salvaguardia
Salvaguardiaeeprotezione
protezione
del
patrimonio
aziendale
del patrimonio aziendale
99Conformità
Conformitàdelle
delle
operazioni
alle
operazioni allenormative
normative
interne
ed
esterne
interne ed esterne
99Efficacia
Efficaciaed
edefficienza
efficienzadei
dei
processi
processi
99Integrità,
Integrità,tempestività
tempestivitàed
ed
affidabilità
affidabilitàdelle
delle
informazioni
informazionicontabili
contabiliee
gestionali
gestionali
I.A
I.A.:
Figure di riferimento del SCI
Una solida gestione aziendale dipende dalle sinergie generate dalle principali
componenti della Corporate Governance.
Il Consiglio di Amministrazione
9approva orientamenti strategici e politiche di gestione e rilevazione dei rischi;
9approva la struttura organizzativa;
9assicura la definizione di un sistema informativo corretto, completo e tempestivo;
9avvalla il sistema di regole, procedure e strutture organizzative del SCI.
Il Comitato Tecnico per il Controllo Interno
Assiste il Consiglio di Amministrazione nel fissare
le linee di indirizzo del SCI e ne verifica
periodicamente l’adeguatezza.
In relazione alle funzioni di Organismo di VigiIanza
ai sensi dell’art.6, D.Lgs.8 giugno 2001 n.231 vigila
sull’effettiva capacità dei Modelli di prevenire la
commissione dei reati previsti dal Decreto.
SCI
L’Internal Audit
Rappresenta il livello di controllo più elevato del SCI. L’attività viene svolta da
Internal
Audit
una struttura
indipendente
diversa da quella produttiva attraverso sistemi di
monitoraggio e di controllo a distanza nonché verifiche in loco tese ad
individuare andamenti anomali, violazioni delle procedure e della
regolamentazione interna ed esterna.
4
L’Alta Direzione
Assicura l’istituzione e il mantenimento di
un SCI efficiente ed efficace tramite:
9la corretta gestione dell’operatività e dei
rischi connessi, definendo politiche e
procedure di controllo appropriate;
9la definizione dei compiti delle unità
operative dedicate a funzioni di controllo,
assicurando personale qualificato;
9la definizione di flussi informativi che
assicurino al Consiglio di Amministrazione
piena governabilità dei fatti aziendali.
Il Collegio Sindacale
Ha compiti di verifica del regolare svolgimento
dell’attività aziendale e della correttezza delle
procedure amm. contabili avvalendosi dell’IA
La Revisione Esterna
Oltre ad esprimere giudizi professionali sulla
conformità dei bilanci dell’intermediario
rispetto alle norme valuta il rischio di controllo
per identificare il rischio di revisione
complessivo.
I.A
I.A.:
Struttura e dinamiche dell
’Internal Audit
dell’Internal
L’Internal
Auditing
è
un’attività
indipendente ed obiettiva di assurance e
consulenza finalizzata al miglioramento
dell’efficacia
e
dell’efficienza
dell’organizzazione aziendale.*
Assiste
l’Alta
Direzione
nel
perseguimento dei propri obiettivi tramite
un approccio professionale sistematico,
che genera valore aggiunto, in quanto
finalizzato a valutare e migliorare i
processi di controllo, di gestione dei
rischi e di Corporate Governance.
* definizione dell’Institute of Internal Auditing
5
Posizionamento dell’Internal Audit
Internal
Audit
Controlli di secondo livello
(i.e. risk management,
controlli direzionali/gerarchici)
Controlli di primo livello
I.A
I.A.:
Struttura e dinamiche dell
’Internal Audit
dell’Internal
L’Internal Audit:
9 Utilizza tecniche di Risk Assessment per valutare l’adeguatezza del SCI;
9 Attua verifiche preventive (ex ante) integrate con interventi ex post sulle
funzionalità dei controlli di 1° e 2° livello
9 Favorisce la diffusione della “cultura del controllo”
9 Propone l’attivazione di nuovi controlli se i relativi costi risultano
proporzionali ai rischi emergenti
9 Crea valore aggiunto per la Banca valutando i rischi di business alla luce
degli obiettivi e delle strategie seguite dall’organizzazione
9 Utilizza una pianificazione strategica pluriennale basata sull’analisi dei
rischi, definendone la priorità in base alla rilevanza e alla probabilità di
accadimento
9 Imposta una pianificazione annuale avvalendosi di tecniche di “project
management” e di adeguati strumenti informatici
9 Sviluppa l’utilizzo di standard specifici (ad es. Coso, BS 17799, CobiT).
6
L
’esperienza di Banca Fideuram
L’esperienza
I dati europei dell’Economic Crime Survey 2005 edito da PWC indica il
settore bancario come uno dei comparti più a rischio di frodi.
Il danno finanziario medio per azienda risulta pari a 3,1 Mln €,
coinvolgendo il 25% delle aziende Italiane. Risulta probabile inoltre che tali
dati, in quanto sensibili, siano sottostimati.
In ordine all’importanza dell’attività di Auditing, a livello domestico risulta
una correlazione tra la scoperta delle irregolarità e la diffusione dei
fenomeni pari al 33%.
L’ottimizzazione degli strumenti informatici e dei processi metodologici volti alla
mitigazione dei rischi ha permesso a Banca Fideuram di raggiungere una
percentuale pari al 43% di illeciti individuati attraverso sistemi di Internal Auditing.
7
L
L’esperienza
Il danno inflitto da un appropriazione va oltre la diretta perdita monetaria.
Asset come il patrimonio relazionale, la reputazione e il branding, e nel
complesso l’intero valore aziendale, possono risultare significativamente
coinvolti.
Tali impatti ovviamente risultano in gran parte dipendenti dalla gravità
dell’irregolarità commessa.
% Aziende soggette a frodi
L’impatto della frode sulle Aziende
(Italia)
(Italia)
57%
Reputazio ne/Immagine
A ziende so ggette a fro di
25%
A ziende no n so ggette a fro di
4%
Quo tazio ne azio naria
75%
M o rale dipendenti
43%
Danni alle relazio ni di
business
43%
0%
Fonte: ECS 2005
8
10%
20%
30%
40%
50%
60%
% aziende interessate
L
L’esperienza
Il contesto operativo di riferimento
riferimento
La tabella seguente illustra i principali dati di riferimento al 31/12/2006:
9
9
9
9
9
9
9
9
4.215 Private Banker
256 Uffici dei Private Banker
94 Filiali al servizio dei clienti e dei Private Banker
1.106 dipendenti
665.000 clienti
€ 67,6 miliardi di Asset Under Management (57,2 BF; 10,4 SPI)
€ 225 milioni di utile netto consolidato
R.O.E. 30,9%
9
L
L’esperienza
L
’assetto Organizzativo della Direzione Audit
L’assetto
Di seguito si presenta la struttura organizzativa dell’Internal Audit
Banca Fideuram al 31/03/2007.
DIREZIONE
DIREZIONE AUDIT
AUDIT
Nucleo
Reclami
Supporto
Segretariale
44
11
AUDIT RETI
31
31
AUDIT
DIREZIONI E
SOCIETA’
CONTROLLATE
10
COMPLIANCE
13
13
33
L
L’esperienza
L
’assetto Organizzativo della Direzione Audit
L’assetto
DIREZIONE
AUDIT
53 risorse
66
Audit Reti
33
33
Funzione
Funzione
Audit
Audit Reti
Reti
Audit
Direzioni
Compliance
Società
Controllate 13
33
13
31 risorse
Il 58% delle risorse della Direzione Audit
È preposta ai controlli sull’operato dei promotori finanziari e dei segnalatori
appartenenti alle reti di Banca Fideuram e Sanpaolo Invest Sim.
Al fine di ottimizzare la contiguità operativa con il controllo sull’operato dei
promotori delle due reti distributive che operano sulla rete Filiali di Banca
Fideuram ed accrescere pertanto le possibilità di cogliere eventuali “segnali”
di attenzione sul comportamento dei promotori stessi, esegue l’attività di audit
anche sulle strutture bancarie periferiche.
11
L
L’esperienza
La mission dell ‘‘Audit
Audit Fideuram
AUDIT RETI
è dedicata ai controlli ed alle verifiche sulle Reti di Banca
Fideuram e di Sanpaolo Invest;
AUDIT DIREZIONI
E SOCIETA’
CONTROLLATE
ha il compito di pianificare e svolgere l' Auditing ed il
controllo interno sulle strutture organizzative della Banca e
sulle Società controllate
COMPLIANCE
verifica l'osservanza della normativa di legge e di settore
sulle attività svolte dalla Banca
NUCLEO
RECLAMI
è preposta alla corretta tenuta del registro reclami.
12
L
L’esperienza
I principali driver di cambiamento
cambiamento Fideuram
Fideuram
Tra i principali linee di sviluppo del modello di Controllo:
9 Evoluzione del modello culturale da “Ispettorato” ad “ Internal Audit”;
9 Massimizzazione delle logiche di risultato tramite l’utilizzo di nuovi indicatori di anomalia (KRI) e di
tecnologie informatiche evolute;
9 Attività di Operational Auditing trasversali tra la Banca e le Società del Gruppo;
9 Impiego in produzione di un evoluto sistema di controllo a distanza sui comportamenti dei Private
Banker e sull’operato delle filiali bancarie
9 Partecipazione della Direzione ai lavori della Commissione Tecnica per Revisione del Codice di
Vigilanza di Assoreti ed alla Commissione del settore finanziario dell’Associazione Italiana Internal
Auditing.
13
L
L’esperienza
Fideuram
In tale contesto sono destinate a cambiare le finalità dei controlli interni
non più intesi solo come verifiche della correttezza formale e
sostanziale alle attività, ma anche come monitoraggio costante delle
capacità della Banca di raggiungere i propri obiettivi e di adeguarli al
mutare del contesto esterno.
La Direzione Audit, indipendentemente dall’area supervisionata
(Reti/Banking/Società/IT), opera quindi a tre diversi livelli:
1) costruzione e diffusione di
strumenti di verifica e indici
di rischio delle attività
2) monitoraggio
costante a distanza
dell’operatività
14
3) intervento immediato
e mirato in presenza
di fenomeni anomali
L
L’esperienza
Fideuram
L’impostazione organizzativa poggia su:
rinforzo quali-quantitativo della
Direzione, attraverso l’inserimento
di qualificate risorse provenienti
dall’esterno.
ricorso significativo alle
tecnologie per la realizzazione
di strumenti di intelligence
In tale ambito, risulta privilegiato sempre più l’aspetto preventivo del
controllo, sia da parte della Direzione Audit, sia da parte delle unità
operative (sede/filiale/struttura manageriale di Rete) affinché il sistema dei
controlli interni (SCI) nel suo più ampio contesto, risulti concreto ed
efficace; anche considerata l’importanza che nell’ambito del sistema dei
controlli interni, rivestono i controlli di linea effettuati dalle stesse strutture
produttive (i.e. controlli di tipo gerarchico) o incorporati nelle procedure
ovvero eseguiti nell’ambito dell’attività di back-office.
15
L
L’esperienza
Il Progetto
La revisione è stata modulata secondo tre driver principali:
1) Avvio del progetto sulle
esperienze maturate sul campo
3) Analisi di dati
ed informazioni estratte dagli
archivi informatici di
Banca Fideuram e di terzi
2) Tecnologie informatiche
intranet e ricorso
a strumenti statistici
16
L
L’esperienza
Gli obiettivi
9 Definire coefficienti di rischio delle varie attività monitorate (202
fenomeni);
9 Progettare indicatori statistici più evoluti per Fraud Audit e
Compliance Audit, coerenti con il Codice di Vigilanza Assoreti (per
quanto attiene all’operato dei PB);
9 Predisporre un assetto metodologico omogeneo per l’esecuzione di
verifiche e controlli a distanza;
9 Orientare gli interventi di Audit, migliorandone la tempestività e la
selettività tramite indicatori di early warning per il controllo a
distanza;
9 Assicurare completezza e dinamicità delle verifiche ispettive sulla
base delle esperienze acquisite nell’ambito di specifici case history.
17
L
L’esperienza
Il focus sull’evoluzione
9 Definizione puntuale di differenti specifiche di comportamento da
sottoporre a monitoraggio con la definizione analitica di schede di
controllo ispettivo
9 Attribuzione di coefficienti di ponderazione dei differenti valori di
rischio connessi con i vari fenomeni/indicatori per monitorare le
varie tipologie di comportamenti potenzialmente anomali
9 Gestione degli indicatori flessibile e multirete predisposta per
analizzare e verificare a distanza i singoli fenomeni/indicatori ovvero
la loro dimensione nell’insieme aziendale ordinati per singolo attore
9 Il valore rischio fenomeno, le regole di estrazione, i fattori
moltiplicativi e il valore rischio ruolo contribuiscono a determinare
l’importanza e la valenza ai fini del sistema di controllo a distanza
18
L
L’esperienza
Il sistema di monitoraggio informatico a distanza: ll’impianto
’impianto organizzativo
Database
operazionali
Delta
settimanali
Il monitoraggio
permette di analizzare
i fenomeni rilevati
Monitoraggio attività
I fenomeni degni
di attenzione
sono sottomessi
a verifica
Gestione verifiche
Rilevazioni
settimanali
Le rilevazioni sono
storicizzate su base
settimanale
Verbalizzazione
Le rilevazioni vengono etichettate
come verificate e non concorrono
più nella determinazione della
posizione di rischio dell’attore
19
Quando il
fenomeno viene
esaminato, si
procede alla
registrazione
della verifica
L
L’esperienza
Il sistema di monitoraggio informatico a distanza : i flussi
Log TP
Log TP
di
di
sportello
sportello
Titoli:
Titoli:
Ordini
Ordini
Eseguiti
Eseguiti
Saldi
Saldi
Bonifici
Bonifici
Italia
Italia
Estero
Estero
Reclami
Reclami
Segnala
Segnala
zioni
zioni
.......
.......
Dati
Dati
SIMPB
SIMPB
WEB
WEB
.......
.......
Host
STAGING
AREA
Host/Dipartimentale
Dipartimentale
20
L
L’esperienza
Il sistema di monitoraggio informatico a distanza : i flussi
STAGING
STAGING AREA
AREA
E’
E’ un
un area,
area, situata
situata su
su host
host oo dipartimentale,
dipartimentale, utilizzata
utilizzata per
per parcheggiare
parcheggiare ee consolidare
consolidare
tutti
tutti quei
quei flussi
flussi provenienti
provenienti dai
dai vari
vari sistemi
sistemi nella
nella fase
fase che
che precede
precede l’alimentazione
l’alimentazione della
della
base
base dati
dati applicativa.
applicativa.
Consente
Consente di
di sincronizzare
sincronizzare tutti
tutti ii dati
dati generati
generati con
con periodicità
periodicità diverse
diverse dai
dai differenti
differenti
sistemi
sistemi interni
interni alla
alla banca,
banca, prima
prima di
di essere
essere inviati
inviati al
al sistema
sistema dipartimentale
dipartimentale
Permette
Permette un
un controllo
controllo sulla
sulla qualità
qualità dei
dei dati
dati
Ambiente
Ambiente di
di backup
backup
Unico
Unico punto
punto di
di controllo,
controllo, raccolta
raccolta ee smistamento
smistamento dei
dei dati
dati
21
L
L’esperienza
Il sistema di monitoraggio informatico a distanza : il modello logico del rischio
Parametri
• Definizione parametri per la trasformazione del
fenomeno in indicatore:
– regole di estrazione dalle procedure IT delle operazioni
– valore di rischio per la banca legato al fenomeno
– valore di rischio legato al singolo attore
• Modello statistico per la determinazione delle soglie di
segnalazione
• Elaborazione dell’indicatore di sintesi del rischio del
fenomeno per l’attore espressa come:
–valore puntuale
–fascia di rischio
22
Il sistema di monitoraggio informatico a distanza : tipologie di fenomeni monitorati
Conti
Conti Correnti
Correnti
Bonifici
Bonifici Italia
Italia ed
ed Estero
Estero
Operatività
Operatività in
in Titoli
Titoli
Crediti
Crediti (Fidi)
(Fidi)
Prodotti
Prodotti Assicurativi
Assicurativi
Centrale
Centrale Rischi
Rischi
Fondi
Fondi ee Gestioni
Gestioni
Provvigioni
Provvigioni
Domiciliazioni
Domiciliazioni
Gestione
Gestione clienti
clienti
Liquidazioni
Liquidazioni
Reclami
Reclami
23
L
L’esperienza
Il sistema di monitoraggio informatico a distanza : i fenomeni e gli attori
FENOMENI
Conti
Conti
Correnti
Correnti
Titoli
Titoli
Fondi
Fondiee
Gestioni
Gestioni
Prodotti
Prodotti
Assicurativi
Assicurativi
Crediti,
Crediti,Mutui
Mutuiee
Prestiti
Prestiti
MODELLO LOGICO DEL RISCHIO
SCHEDA
SCHEDA
RILEVAZIONE
CONTROLLO
RISCHIO
ISPETTIVO
MODELLO STATISTICO
DI ANALISI
Auditors
INDICATORI
Operatore Bancario
Promotore
Finanziario
ATTORI
24
Promotore
Finanziario e Cliente
Il sistema di monitoraggio informatico a distanza : l’utilizzo degli indicatori
“DB Indicatori”
Approccio per
segnale
Evidenziazione e
monitoraggio di
una selezione di
indicatori ritenuti
più rilevanti
PF
Indicatori
...
2
2,18
-1,5
...
1
2,23
B
0,81
N.A.
...
-1,2
0,75
C
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
...
1
2,1
...
-2,1
1,1
1,5
1,9
...
-1,2
A
D
E
F
3.127
Media
1
...
202
Media
Approccio per attore
Attivazione delle verifiche sui promotori
in base a classifica generale dei
promotori elaborata sul totale degli
indicatori
25
Dati di Sintesi 2006 - Consolidato
Copertura 2006 PB Rete BF/SPI
Output
Verbali
Report SIA
Reclami **
396
6.000
3.500
5.000
3.000
740
4.000
2.500
494
3.027
805
2.320
804
2.000
3.000
3.377
1.500
2.851
2.000
1.000
940
1.000
-
Totale
verifiche
291
630
500
717
820
-
2004
2005
2006
1.861
4.372
4.937
Report SIA
Verbali
Reclami
Sovrapposizioni
TOTALE
- Nel 2006 la copertura delle Reti BF/SPI ha raggiunto il
72%. Le verifiche effettuate sono distribuite su tutto il
territorio
* Il dato sui reclami include gli atti di citazione
26
Dati di Sintesi 2006 - Consolidato
Contribuzione rilevazione Illeciti
14%
Indicato
ControllireaSIA
distanza
Fo llo w Up
Reclamo
7%
Segnalazio ne Interna
14%
65%
27
I Fattori di indirizzo
Segnalazione
interna,
Controlli a distanza e
Reclamo
hanno
contribuito maggiormente
alla rilevazione degli
Illeciti.
Audit sulle filiali
Attività in Sede
Attività in loco
Reportistica
Analisi indicatori a distanza specifici, verifica singole posizioni
(contabili interne o riconducibili a clienti), individuazione
campionatura documenti da esaminare in loco.
Analisi processi e compliance relativa alle Aree Crediti, Titoli
ed Esecutivo. Condivisione con Responsabili delle anomalie
rilevate.
Redazione verbale di audit ed inoltro.
28
L
L’esperienza
Considerazioni conclusive
Si è innestato un processo di cambiamento culturale della Direzione Audit e
di rafforzamento dei presidi operativi attuato anche attraverso il piano di
recruiting.
Il ricorso a tecnologie informatiche avanzate per il controllo a distanza e ad
adeguati strumenti statistici hanno favorito la realizzazione di un efficace
sistema di controllo a distanza.
Tali fattori hanno pertanto consentito l’esecuzione di attività ispettive più
approfondite che, quindi, hanno comportato una maggior frequenza di
accertamenti
a
fronte
di
comportamenti
non
corretti
che,
conseguentemente, sono stati oggetto di comunicazione agli Organi di
Vigilanza.
Il consolidamento delle tecnologie impiegate consente inoltre una verifica
costante sui Private Banker e sulle Reti bancarie mediante l’impiego di
indicatori di anomalia rappresentativi di comportamenti potenzialmente
forieri di fenomeni appropriativi o malversativi.
29