3. Le funzioni di controllo nel processo di revisione prudenziale

Transcript

AICOM - AIIA
Milano, 2 luglio 2008
Le funzioni di Internal Audit e di Compliance:
ruoli, responsabilità e ambiti di rispettiva competenza
Claudio Clemente
Capo del Servizio Vigilanza sugli Enti Creditizi
della Banca d’Italia
Agenda dell’intervento
1. Il paper elaborato da AICOM e AIIA
2. Contributo delle funzioni di controllo alla
creazione di valore
1. Le funzioni di controllo nel processo di
revisione prudenziale
2. Conclusioni
Le funzioni di Internal Audit e di Compliance
C. Clemente, 2 luglio 2008
-2-
-3-
Il lavoro svolto dalle due Associazioni è teso a declinare
su un piano operativo le distinte finalità assegnate
dalla normativa alle due funzioni di controllo.
Internal Audit: valuta la funzionalità del complessivo sistema dei
controlli interni; accerta, anche con verifiche in loco, la regolarità
dell'operatività e l'andamento dei rischi Æ piano di verifiche risk
based;
Compliance: verifica la coerenza dei processi con l’obiettivo di
prevenire la violazione delle norme di etero e autoregolamentazione,
in un’ottica di presidio dei rischi di non conformità e di reputazione
Obiettivo condiviso
diffusione di una cultura incentrata sulla piena
consapevolezza dei rischi e sul rispetto delle regole
-4-
I contenuti del documento elaborato da AICOM e AIIA risultano nel
complesso coerenti con le disposizioni di vigilanza.
Ô Valorizzazione di tutte le attività di compliance:
Identificazione nel continuo delle norme applicabili

e verifica
dell’adeguatezza di processi e procedure ad assicurarne il
rispetto
supporto consulenziale e formazione
verifica dell’effettività e della permanenza delle condizioni di
conformità
ÆAd
un anno dall’entrata in vigore delle norme, occorre verificare
che la funzione svolga in concreto tutte le attività sopra richiamate
.
Ô Coinvolgimento
della funzione di Compliance nella fase di
definizione e avvio di tutti i progetti innovativi e nella revisione di
processi e procedure
ÆNecessario al fine di garantire nel tempo l’adeguatezza dei presidi
di conformità
-5-
.
Ô
Richiamo alla necessità di una adeguata definizione delle modalità di
coordinamento e raccordo con l’Internal Audit (e con le altre
funzioni aziendali di controllo), in un’ottica di:
condivisione di informazioni
minimizzazione delle aree di possibile sovrapposizione
Æ Formalizzazione di appositi mandati nei quali trovino puntuale
indicazione gli ambiti e le modalità di intervento di ciascuna funzione
Æ Definizione delle modalità di collaborazione in un’ottica di
integrazione/coordinamento dei piani di attività (accordi di servizio)
Æ Individuazione di momenti di confronto periodico (Comitato di
Audit, Comitato di controllo interno,…)
Si richiama l’attenzione
…sull’esigenza che la definizione di accordi di servizio
non faccia venir meno l’indipendenza dell’Internal Audit,
che conserva le responsabilità inerenti alla propria mission
-6-
2. Contributo delle funzioni di controllo
alla creazione di valore
-7-
Come evidenziato nel documento elaborato da AICOM-AIIA, la
revisione dell’architettura del sistema dei controlli interni
non va affrontata come mero adempimento formale, ma come
opportunità
L’attività di compliance deve costituire uno strumento proattivo di
prevenzione del rischio di non conformità in un’ottica di creazione di valore
La revisione degli snodi operativi tra le diverse funzioni di controllo deve
essere finalizzata ad incrementare l’efficacia e l’efficienza dei presidi
e ad allinearne l’assetto alle best practices internazionali
-8-
La funzione di Compliance:
contribuisce concretamente ad accrescere
aziendale e a ridurre la volatilità degli utili
la
redditività
9 prevenendo perdite finanziarie/sanzioni
9 evitando contrazioni del business per danni reputazionali
9 favorendo una positiva valutazione da parte delle società
di rating e degli investitori istituzionali
rafforza e stabilizza il rapporto fiduciario con la clientela e, più in
generale, con tutti gli stakeholders, contribuendo al
perseguimento di obiettivi di sviluppo di lungo periodo
attraverso la protezione del marchio e della
-9-
reputazione
3. Le funzioni di controllo nel processo
di revisione prudenziale
- 10 -
Nel framework regolamentare di Basilea 2, l’esposizione della banca al
rischio reputazionale e la qualità dei presidi che ne assicurano il
contenimento assumono specifico rilievo nell’ambito delle valutazioni delle banche e dell’Organo di vigilanza – previste dal II PILASTRO:
ICAAP
Capitale
interno
ICAAP
Le banche identificano
e misurano i rischi
aziendali rilevanti
e determinano
l’ammontare di
risorse patrimoniali
e i processi organizzativi
e di controllo necessari
Valutazioni e
a fronteggiarli, nell’ambito
interventi
del contesto strategico di
di vigilanza
riferimento
SREP
- 11 -
SREP
L’Autorità di Vigilanza
verifica il processo
valutativo accertando
che gli intermediari si
dotino di presidi di
natura patrimoniale e
organizzativa
appropriati rispetto ai
rischi assunti e richiede
eventuali misure
correttive
Occorre tener conto delle tipologie di rischio più rilevanti avuto
riguardo all’operatività e ai mercati di riferimento della banca, nonché
delle sue strategie e prospettive future. L’analisi deve considerare
almeno i rischi riportati dalle Nuove Disposizioni di vigilanza prudenziale,
tra i quali è annoverato il rischio reputazionale.
Rischio
di credito
Rischi di
mercato
Esigenze
patrimoniali
prospettiche
Rischio di
Concentrazione
Patrimonio
Rischio di
tasso d’interesse
Rischio di
Liquidità (linee guida)
Stress testing
Rischio strategico
Rischi
operativi
Rischio reputazionale
Altri rischi
- 12 -
Assetti
organizzativi
e di
controllo
Le difficoltà connesse con la QUANTIFICAZIONE dei rischi di
reputazione rende necessario incentrare l’analisi di adeguatezza del
presidio sulla qualità degli assetti organizzativi e di controllo:
¾ livello di consapevolezza degli organi di vertice in ordine alla
rilevanza della tematica
¾ efficacia dell’azione attuativa del Direttore generale (Consiglio
di gestione, nel modello dualistico)
¾ promozione di una cultura dell’eticità e della correttezza
dei comportamenti;
¾ adeguata gestione delle relazioni con gli stakeholders
¾ idoneità dei sistemi di gestione e contenimento del rischio
Rispetto sostanziale dei requisiti minimi
di idoneità organizzativa della funzione di
Compliance previsti dalle disposizioni
- 13 -
Per apprezzare l’idoneità della funzione di Compliance a presidiare
adeguatamente il rischio reputazionale, l’OdV valuterà in che misura
le soluzioni adottate dai soggetti vigilati assicurino il rispetto anche
sostanziale delle disposizioni in materia di Conformità
POSIZIONAMENTO ORGANIZZATIVO
9Separatezza (tra Compliance e Internal Audit; coordinamento e
chiara individuazione di responsabilità)
9Indipendenza (valutazione dei conflitti di interesse
in caso di abbinamento con altra funzione;
indipendenza sostanziale dei referenti in ipotesi di
adozione di un modello di presidio “decentrato”)
- 14 -
L’OdV valuterà l’idoneità del presidio di compliance
ad intercettare prontamente i rischi di non conformità e
a quantificarne la rilevanza
9Ricognizione periodica delle aree
a maggior rischio di compliance
9Presidio degli ambiti indicati dalle disposizioni di vigilanza:
norme più rilevanti e altre aree di intervento
(Æ sistemi retributivi e incentivanti)
9Presidio dei processi volti ad assicurare il rispetto
delle regole di vigilanza prudenziale
9Coinvolgimento della funzione da parte dell’Organo di Vigilanza
- 15 -
Le previsioni del II pilastro consentono di riconnettere all’istituzione di
forti presidi di Internal Audit e di Compliance un ulteriore
potenziale vantaggio economico
Al termine del processo valutativo, ove siano riscontrate carenze o
inadeguatezze nel presidio dei rischi, l’Organo di vigilanza richiede opportuni
INTERVENTI CORRETTIVI (Æ proporzionalità):
- rafforzamento del sistema dei controlli interni
- contenimento dei rischi (Æ divieto di effettuare categorie di operazioni)
- riduzione dei rischi (Æ restrizioni ad attività o alla struttura territoriale)
- divieto di distribuzione degli utili (o di altre poste patrimoniali)
In tale ambito è altresì possibile l’assunzione di provvedimenti incrementativi
della misura dei requisiti patrimoniali, in particolare in presenza di rilevanti
carenze nella struttura organizzativa e dei controlli.
- 16 -
La centralità del sistema dei controlli interni nella vita aziendale si
riafferma nell’ambito delle Disposizioni di vigilanza in materia di
organizzazione e governo societario emanate nel marzo 2008:
¾
modalità di nomina dei responsabili delle funzioni di revisione interna e di
conformità: decisione collegiale dell’organo di gestione (non delegabile), con
la partecipazione dei componenti non esecutivi, previo “parere” dell’organo di
controllo;
¾
opportunità di consultare l’organo
dell’architettura dei controlli;
¾
flussi informativi: le relazioni dell’internal audit e della compliance devono
essere direttamente trasmesse agli organi aziendali;
¾
forme di retribuzione collegate alla performance aziendale sono di norma da
evitare per responsabile compliance e audit, mentre sono opportune forme
di incentivazione coerenti con i compiti loro affidati.
- 17 -
di
controllo
nella
definizione
5. Conclusioni
- 18 -
5. Conclusioni
Ô
Le maggiori complessità del contesto operativo, la crescente
sofisticazione dell’attività bancaria, il vaglio sempre più attento degli
stakeholders portano ad assegnare al sistema dei controlli interni un
ruolo centrale per lo sviluppo in sicurezza del business e,
conseguentemente, nell’ambito delle valutazioni di Vigilanza.
Ô
Alle necessità che ne conseguono - di elevare la consapevolezza dei
profili di rischio assunti e di perseguire un costante miglioramento
dell’efficacia dei sistemi che consentono di governali - si ricollega la
moltiplicazione
delle
disposizioni
che
disciplinano
figure
professionali incaricate di compiti di controllo.
Ô
Alla funzione di Internal Audit prevista dalle Istruzioni di vigilanza del
1999, si è affiancata una nuova funzione di gestione del rischio cui
risultano assegnate specifiche attribuzioni in materia di conformità.
Ô
L’interesse pubblico sotteso all’intervento regolamentare del luglio
2007 in materia di Conformità coincide con l’interesse degli
intermediari a elevare gli standard di efficienza e sicurezza e quindi
accresce gli incentivi alla creazione di valore per l’impresa.
- 19 -
5. Conclusioni
Ô
L’introduzione della funzione di Compliance ha rappresentato,
rappresenta, un significativo momento di discontinuità per gli assetti
organizzativi delle banche e un’importante opportunità strategica.
Ô
Al fine di valorizzare tutte le implicazioni positive attese
dall’attivazione del nuovo presidio è necessario assicurarne la piena
integrazione nella realtà aziendale: alle banche è richiesto di rivedere
il modello delle relazioni gerarchiche e funzionali tra tutte le strutture
a vario titolo coinvolte nel processo di gestione del rischio di
compliance, di ricalibrarne le responsabilità, di sperimentare nuove
forme di coordinamento e collaborazione tra le funzioni di controllo.
Ô
Le scelte che ciascuna azienda avrà effettuato nel rispetto dei
principi generali enunciati dalla normativa di riferimento, troveranno
un momento di verifica dialettica anche con l’Organo di vigilanza.
Nell’ambito del processo di revisione prudenziale, nel valorizzare la
flessibilità insita nella normativa di riferimento - principle based –
verrà verificata l’efficacia delle soluzioni adottate dalle banche al fine
di assicurare il perseguimento di un adeguato presidio del rischio di
compliance.
- 20 -