Forum dedicato alle Funzioni Aziendali di Controllo:
VERSO UN NUOVO SISTEMA DEI CONTROLLI INTERNI
1° Forum delle Funzioni Aziendali di Controllo
8 ° Edizione Compliance in Banks
Roma, 7‐8 novembre 2013
Il sistema dei controlli interni assume un ruolo sempre più centrale rendendo le valutazioni di vigilanza un necessario strumento per assicurare la sana e prudente gestione delle imprese bancarie e finanziarie. Per Nexen parteciperà come relatore Pierluigi Pluviano, direttore della business unit Audit & Compliance.
Compliance in Banks - Forum delle Funzioni aziendali di Controllo
1. COMPLIANCE IN BANKS – FORUM
VERSO UN NUOVO SISTEMA DEI CONTROLLI INTERNI
Pierluigi Pluviano
Director, B.U. Organizzazione e Compliance
Nexen Business Consultants
2. Processi, controlli di linea e responsabilità
della compliance
Alcune parole chiave del XV aggiornamento
RISCHI
Consapevolezza
Misurazione/Valutazione
Integrazione
Efficienza
CONTROLLI
3. Processi, controlli di linea e responsabilità
della compliance
In sintesi
OFSS
OFC
Internal Audit
Controlli di
3° livello
RAF
ICAAP
Compliance ,
Risk Management
Controlli di 2° livello
Antiriciclaggio, Privacy,
Controllo Crediti
Resp. Commerciale
Controlli Specialistici
Controlli di linea
Rischi Operativi
Rischi di Compliance
Processi
Unità
Organizzativa
Unità
Organizzativa
KRI
KPI
Unità
Organizzativa
4. Processi, controlli di linea e responsabilità
della compliance
Sinergie
•
Tassonomia univoca dei processi, individuazione del
livello comune di riferimento per lo SCI, definizione di KPI
e KRI anche con finalità di «early warning»
•
Tassonomia univoca dei rischi operativi (Basilea) e dei
rischi di non conformità (ABICS)
•
Metodologia unica di misurazione dei rischi e definizione
dei flussi informativi tra le funzioni di linea, quelle di
controllo, il vertice aziendale.
•
Tassonomia e catalogo dei controlli di linea e dei controlli
specialistici (tracciabilità) con individuazione delle
responsabilità, delle tempistiche, delle modalità di
reporting, delle soglie di allarme..
OFSS
OFC
Controlli di
3° livello
RAF
Controlli di 2° livello
Controlli Specialistici
Controlli di linea
Rischi Operativi
Rischi di Compliance
Processi
Unità Organizzativa
Unità Organizzativa
KRI
KPI
Unità Organizzativa
5. Processi, controlli di linea e responsabilità
della compliance
Un esempio di SCI integrato
Catalogo Processi
Metodologia di Risk
Assessment
Catalogo Rischi Operativi
Flussi Informativi tra le
funzioni di controllo
Catalogo Rischi Compliance
Matrice Processi/Rischi/Responsabilità
Report ARC (Analisi Rischi Controlli)
Procedura Sistema Controlli Interni
Integrato
Catalogo Controlli
Documento Master SCI
Tracciabilità e Certificazione
Controlli
6. Processi, controlli di linea e responsabilità
della compliance
Un esempio: i flussi informativi
Internal Audit
Risk Management
Compliance
Trimestralmente
La funzione Internal Audit provvede a
comunicare alla Direzione Generale le
risultanze delle verifiche effettuate
nel periodo di riferimento tramite
documentazione di sintesi.
Trimestralmente
La funzione Risk Management
provvede a comunicare alla Direzione
Generale le risultanze delle verifiche
effettuate nel periodo di riferimento.
Predispone e condivide la reportistica
nei confronti della Direzione Generale
circa l’evoluzione dei rischi e la
violazione dei limiti operativi fissati.
Trimestralmente
La funzione Compliance provvede a
comunicare all’Alta Direzione le
risultanze delle verifiche effettuate
nel periodo di riferimento.
Predispone la reportistica nei
confronti della Direzione Generale
circa l’evoluzione dei rischi di non
conformità rilevati.
Ad evento
l’Alta Direzione informa
tempestivamente la funzione Risk
Management di fatti/eventi specifici
che rivestono carattere di particolare
rilevanza.
Ad evento
l’Alta Direzione informa
tempestivamente la funzione
Compliance di fatti/eventi specifici
che rivestono carattere di
particolare rilevanza.
Periodicamente
A seguito dell’analisi sull’attività
oggetto di controllo, la funzione Risk
Management procede, secondo le
modalità e la periodicità fissata
dall’organo amministrativo, a
comunicare all’organo stesso, all’Alta
direzione ed al Collegio Sindacale la
valutazione delle risultanze e le
eventuali disfunzioni e criticità.
Periodicamente
A seguito dell’analisi sull’attività
oggetto di controllo, la funzione
Compliance procede, secondo le
modalità e la periodicità fissata
dall’organo amministrativo, a
comunicare all’organo stesso,
all’Alta direzione ed al Collegio
Sindacale la valutazione delle
risultanze e le eventuali disfunzioni
e criticità.
Ad evento
Ferme restando le logiche di
interrelazione dinamiche guidate dalle
effettive esigenze di comunicazione,
fatti/eventi specifici che rivestono
carattere di particolare rilevanza sono
tempestivamente oggetto
d’informativa alla funzione di Internal
Audit.
Periodicamente
A seguito dell’analisi sull’attività
oggetto di controllo, la funzione di
Internal Audit procede, secondo le
modalità e la periodicità fissata
dall’organo amministrativo, a
comunicare all’organo stesso, all’Alta
direzione ed al Collegio Sindacale la
valutazione delle risultanze e le
eventuali disfunzioni e criticità.
Tabella 1 - Flussi informativi della Direzione Generale da e verso le funzioni di controllo di 2° e 3° livello
7. Processi, controlli di linea e responsabilità
della compliance
Un esempio: strumenti di supporto
8. Processi, controlli di linea e responsabilità
della compliance
I controlli di linea nelle parole della 263
•
•
controlli di linea (c.d. “controlli di primo livello”), diretti ad assicurare il corretto
svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative
(ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso
unità dedicate esclusivamente a compiti di controllo(1) che riportano ai
responsabili delle strutture operative, ovvero eseguiti nell’ambito del back
office; per quanto possibile, essi sono incorporati nelle procedure
informatiche.
Le strutture operative sono le prime responsabili del processo di gestione dei
rischi: nel corso dell’operatività giornaliera tali strutture devono identificare,
misurare o valutare, monitorare, attenuare e riportare i rischi derivanti
dall’ordinaria attività aziendale in conformità con il processo di gestione dei rischi;
esse devono rispettare i limiti operativi loro assegnati coerentemente con gli
obiettivi di rischio
(1): v. resoconto della consultazione
9. Processi, controlli di linea e responsabilità
della compliance
I controlli di linea come base dello SCI
• I controlli di linea pervadono l’intera struttura aziendale e rappresentano
l’architettura di base e il presupposto essenziale per un adeguato ed
efficace sistema dei controlli interni.
• La gestione nel continuo del SCI deve prevedere l’applicazione concreta e
effettiva di quanto progettato e definito (Fase d’Impianto) con l’obiettivo di
disporre di un sistema dei controlli efficace (Fase di Funzionamento).
• Il legame sistematico dei controlli con i rischi consente di poter individuare
quei rischi, operativi e di conformità, che sono presidiati dai controlli di linea.
10. Processi, controlli di linea e responsabilità
della compliance
Controlli di linea e compliance
• Nell’ampliato contesto di responsabilità della funzione di Conformità appare
necessario che la funzioni innesti le sue attività all’interno di un sistema
quanto più possibile integrato.
• Gli assessment di compliance devono essere alimentati dalla conoscenza
dei processi e dei controlli di linea e specialistici che insistono su di
essi, input per la individuazione dei presidi e la valutazione di adeguatezza.
• Nella definizione dei compliance test e per la valutazione di efficacia si
dovrà fare particolare affidamento, oltre agli eventuali audit della funzione di
Revisione interna, soprattutto alla sistematica effettuazione dei controlli di
linea, al reporting circa l’esito dei controlli, ai flussi informativi strutturati tra
le funzioni.
11. COMPLIANCE IN BANKS – FORUM
VERSO UN NUOVO SISTEMA DEI CONTROLLI INTERNI
Organizzazione e Compliance
Nexen Business Consultants
www.nexen.it
info@nexen.it