Page 1

LE NUOVE DISPOSIZIONI SUL SISTEMA DEI CONTROLLI INTERNI

1


AGENDA 1. ASPETTI INTRODUTTIVI Obiettivi, principi organizzazione

base,

principi

generali

di

2. IL RISK APPETITE FRAMEWORK 3. LE FUNZIONI AZIENDALI DI CONTROLLO 4. DISPOSIZIONI SU PARTICOLARI CATEGORIE DI RISCHIO: il rischio di credito 2


ASPETTI INTRODUTTIVI

3


Obiettivi

• Rafforzamento della capacità di gestire i rischi: la risposta alla crisi finanziaria • Allineamento alla CRR/CRDIV • Revisione organica del quadro normativo: emanazione negli anni di numerose norme che hanno interessato il sistema dei controlli interni • Circolari 229 e 263 • Provvedimento luglio 2007 (“compliance”) • Regolamento congiunto BI-CONSOB • Provvedimento marzo 2008 provvedimenti successivi

(“governo

societario”)

• Provvedimento marzo 2011 (“politiche di remunerazione”) 4

e


Regime transitorio Le banche si conformano alle disposizioni sul sistema dei controlli interni entro il 1° luglio 2014, fatto salvo quanto segue:  con riferimento alle funzioni aziendali di controllo di secondo livello (risk management e compliance), le banche si conformano entro il 1° luglio 2015 a quanto previsto in materia di posizionamento gerachico-funzionale di tali funzioni;  con riferimento all’esternalizzazione di funzioni aziendali le banche adeguano i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall’entrata in vigore (1° luglio 2016). 5


Regime transitorio Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano alla Banca d’Italia una relazione recante un’autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica altresÏ le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni.

6


Principi Generali • Principio di organizzativa

proporzionalità

autonomia

• Crescente ruolo degli organi di vertice • Cultura dei controlli l’organizzazione aziendale

coinvolge

tutta

I CONTROLLI DI LINEA

• Visione integrata dei rischi LA GAP ANALYSIS???

7


Principi generali di organizzazione ADEGUATEZZA DEI FLUSSI INFORMATIVI CHIAREZZA STRUTTURA ORGANIZZATIVA E SUDDIVISIONE DEI COMPITI

FORMALIZZAZIONE DEI PROCESSI AZIENDALI PREVENZIONE DELLE FRODI E DEI CONFLITTI DI INTERESSI

Principi generali di organizzazione GESTIONE DELLE

PROCESSO INTEGRATO DI GESTIONE DEI RISCHI PROCESSI E METODOLOGIE DI VALUTAZIONE DELLE ATTIVITÀ AZIENDALI

RISORSE UMANE

PREVENZIONE COINVOLGIMENTO IN FATTI DI RICICLAGGIO

ANALISI PERIODICA DEL SCI 8


Principi generali di organizzazione: il processo di gestione dei rischi

Processo di gestione dei rischi

Insieme delle regole, delle procedure, delle risorse (umane, tecnologiche e organizzative) e delle attività di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare e comunicare ai livelli gerarchici appropriati tutti i rischi assunti o assumibili nei diversi segmenti, a livello di portafoglio di impresa e di gruppo, cogliendone, in una logica integrata, anche le interrelazioni reciproche e con l’evoluzione del contesto esterno 9


Principi generali di organizzazione: il processo di gestione dei rischi Parametri di integrazione :  Linguaggio comune  Metodi e strumenti rilevazione e valutazione coerenti  Modelli di reportistica dei rischi adeguati a favorirne la comprensione  Coordinamento delle attività  Flussi informativi tra le funzioni coinvolte nel processo  Condivisione azioni di rimedio 10


Principi generali di organizzazione: risorse umane • l’affidamento di funzioni al personale è formalizzato, consente l'univoca individuazione di compiti e responsabilità ed è idoneo a prevenire i conflitti di interessi • Separatezza tra le funzioni operative e quelle di controllo • le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalità necessarie per l’esercizio delle responsabilità a esso attribuite PIANI DI FORMAZIONE

11


Focus sul “middle management” l’organo con funzione di gestione assicura che le attività rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e conoscenze adeguate ai compiti da svolgere LA GAP ANALYSIS???

12


Principi generali di organizzazione: gli altri processi nevralgici • i processi e le metodologie di valutazione, anche a fini contabili, delle attività aziendali sono affidabili e integrati con il processo di gestione del rischio:  separatezza tra definizione e convalida delle metodologie di valutazione  metodologie di valutazione sono testate sotto scenari di stress e non fanno affidamento eccessivo su un’unica fonte informativa  la valutazione è affidata a un’unità indipendente rispetto a quella che negozia 13


IL RISK APPETITE FRAMEWORK

Che cos’è il RAF?

14


Definizione generale Il RAF è l’insieme, strutturato e formalizzato, di politiche, processi, controlli, sistemi attraverso cui l’intermediario fissa gli obiettivi di rischio/rendimento che intende raggiungere, in coerenza con le strategie e il modello di business adottati, li comunica e li monitora.

15


Gli elementi essenziali PROPORZIONALITA’ Contenuto minimale: precisazione del ruolo dei soggetti coinvolti nella definizione/implementazione del RAF (board, managers, unità di business, funzioni di controllo) processi e procedure per: • monitorare il RAF • riportare il risk profile nell’ambito degli obiettivi e/o delle soglie di tolleranza e/o dei limiti, in caso di sforamento (azioni gestionali: es. escalation dei poteri delegati) • aggiornare il RAF COERENZA E PUNTUALE RACCORDO CON ICAAP 16


Gli elementi essenziali

Risk capacity (massimo rischio assumibile): livello massimo di rischio

che una banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o altri vincoli imposti dagli azionisti o OdV

Risk appetite (obiettivo di rischio o propensione al rischio): il livello

di rischio (complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici

Risk tolerance (soglia di tolleranza): la devianza massima dal risk

appetite consentita; è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile

Risk profile (rischio effettivo): rischio effettivamente assunto, misurato in un determinato istante temporale

Risk limits (limiti di rischio): articolazione degli obiettivi di rischio in

limiti operativi, definiti per tipologie di rischio, unitĂ e o linee di business, linee di prodotto, tipologie di clienti

(NB: in teoria dovrebbe valere la seguente relazione ď&#x192; risk profile 17 <= risk appetite < risk tolerance < risk capacity)


Focus sui limiti operativi l’organo con funzione di gestione stabilisce limiti operativi all’assunzione delle varie tipologie di rischio, coerenti con la propensione al rischio, tenendo esplicitamente conto dei risultati delle prove di stress e dell’evoluzione del quadro economico.

LA GAP ANALYSIS??? 18


Risk appetite, risk tolerance and risk limits Come declinarli?

Sono di norma declinati in termini di Capitale economico Patrimonio LiquiditĂ

Ma in concreto? . . . 19


Presupposti per un RAF efficace  Integrazione/coerenza tra RAF e altri processi di

governo aziendale (business model, strategie,

budgeting)

ICAAP,

 Coinvolgimento

nella definizione del RAF dei soggetti chiamati ad attuarlo

 Comunicazione chiara alla struttura  Responsabilizzazione/accountability della struttura  Adattabilità/flessibilità ai cambiamenti delle condizioni

di mercato e del business aziendale

Diventa uno strumento di confronto sui rischi (assunti, da assumere) e agisce come freno all’assunzione di rischi eccessivi20


Le funzioni aziendali di controllo

21


Istituzione • L’organo con funzione di supervisione strategica (OFSS) approva: – la costituzione delle funzioni – i compiti e le responsabilità – le modalità di coordinamento e collaborazione – i flussi informativi • L’OFSS, previo parere dell’organo con funzione di controllo, nomina e revoca i Responsabili

22


Requisiti di indipendenza delle funzioni separatezza organizzativa

LA GAP ANALYSIS???

autoritĂ , adeguate risorse e competenze formalizzazione compiti e responsabilitĂ  accesso a tutti i dati aziendali 23


Responsabili NOVITA’

NOVITA’

Rafforzamento autorevolezza e indipendenza

Adeguata posizione gerarchico -funzionale

Adeguata professionalità e procedure di selezione ENFASI

No subordinazione a/ e responsabilità in aree operative

Particolari criteri di nomina e revoca

Accesso diretto a organi aziendali senza restrizioni e/o intermediazioni 24


Responsabili Possono essere membri dell’organo amministrativo purché:

• Abbiano specifiche deleghe in materia di controlli • Non siano destinatari di altre deleghe che ne pregiudichino l’autonomia 25


Requisiti del personale non coinvolto in attivitĂ sottoposte a controllo (*)

NOVITAâ&#x20AC;&#x2122;

adeguatezza numero e competenze tecnico-professionali

programmi di aggiornamento e

rotation

criteri di remunerazione coerenti (*) Possibili eccezioni per proporzionalitĂ 26


Focus sul collocamento del personale addetto alle funzioni di controllo di secondo livello nelle banche di dimensioni contenute o caratterizzate da una limitata complessità operativa, il personale incaricato di compiti attinenti al controllo di conformità alle norme o al controllo dei rischi, qualora non sia inserito nelle relative funzioni aziendali di controllo, può essere integrato in aree operative diverse; in questi casi, tale personale riferisce direttamente ai responsabili delle funzioni aziendali di controllo per le questioni attinenti ai compiti di tali funzioni

Prevenzione conflitto di interessi

27


L’attività di controllo Per ciascuna funzione aziendale di controllo, la regolamentazione interna indica responsabilità, compiti, modalità operative, flussi informativi, programmazione dell’attività di controllo LA GAP ANALYSIS???

28


Programmazione Risk Management

Compliance

Internal audit

Programma di attività

Programma di attività

Piano audit

PIANO DI AUDIT PLURIENNALE

Identificazione e valutazione dei rischi Programmazione degli interventi di gestione Sulla base delle carenze emerse in passato e dei nuovi rischi identificati Attività di controllo pianificate

risk based

Sezione dedicata al sistema informativo (ICT Audit) 29


Rendicontazione Attività svolta

Risk Management

Verifiche effettuate Risultati emersi

Compliance

Relazione (*)

Punti di debolezza Proposte di intervento

Internal audit

Riferiscono su completezza, adeguatezza, funzionalità e affidabilità del SCI

(*) Redatta annualmente e inviata agli organi aziendali e alla Banca d’Italia

Informano tempestivamente gli organi aziendali su ogni violazione o carenza rilevante riscontrate

30


Focus sull’Internal Audit la funzione di revisione interna valuta:  valuta la completezza, l’adeguatezza, la funzionalità, l’affidabilità delle altre componenti del sistema dei controlli interni. In tale contesto, sottopone, tra l’altro, a verifica le funzioni aziendali di controllo dei rischi e di conformità alle norme  l’organizzazione, i poteri e le responsabilità della funzione di controllo dei rischi, anche con riferimento alla qualità e alla adeguatezza delle risorse a questa assegnate LA GAP ANALYSIS???

31


IL COORDINAMENTO DEI CONTROLLI Proliferazione di organi e funzioni di controllo Risk management

Organo di controllo

Internal audit

Comitato controllo e rischi

Compliance

Amministr. Incaricato controlli

Organismo di vigilanza

Dirigente preposto

Funzione antiriciclaggio

Altro?

Rischi di sovrapposizione o lacune

NOVITAâ&#x20AC;&#x2122;

Il documento di coordinamento dei controlli

32


IL COORDINAMENTO DEI CONTROLLI • L’OFSS approva un documento di coordinamento tra tutte le funzioni di controllo su: –

compiti e responsabilità di organi e funzioni di controllo

i flussi informativi

le modalità di coordinamento e collaborazione

LA GAP ANALYSIS???

• Obiettivi: – Assicurare corretta interazione – Evitare e gestire eventuali sovrapposizioni o lacune Ma, non può alterare le attribuzioni degli organi 33


La Compliance

34


La compliance nelle nuove disposizioni Il perimetro

tutta l’attività aziendale • la sua mission (guidata da un approccio risk based) => procedure interne per tutta l’attività aziendale idonee prevenire il rischio di non conformità • ha accesso a: – tutte le attività della banca (centrali o periferiche) – a qualsiasi informazione (anche colloquio diretto con il personale) • il rischio va gestito a tutti i livelli dell’organizzazione => responsabilizzazione del personale 35


La compliance nelle nuove disposizioni Aspetti di novità

gradualità del coinvolgimento della funzione in relazione: – al rilievo che le singole norme hanno per l’attività svolta e alle conseguenze della loro violazione – all’esistenza all’interno della banca di altre forme di presidio specializzato a fronte del rischio di non conformità relativo a specifiche normative.

36


La compliance nelle nuove disposizioni Aspetti di novità  responsabilità diretta per la gestione del rischio di compliance relativo ai settori di maggiore rilievo per l’attività della banca quali:  attività bancaria e servizi di investimento  conflitti di interesse  trasparenza e tutela del consumatore  norme per cui non c’è presidio specializzato  coinvolgimento graduato per settori in cui c’è già presidio (es. privacy, sicurezza sul lavoro) ma almeno: valutazione rischio, definizione procedure, successiva verifica di adeguatezza 37


La compliance nelle nuove disposizioni Il rischio fiscale

 Approccio graduale anche per il rischio di non conformità alle normative di natura fiscale (per operazioni proprie o per conto della clientela):  definizione di procedure (ricorso a figure interne alla banca o acquisizioni di pareri) volte a prevenire violazioni o elusioni o situazioni di abuso del diritto, per prevenire conseguenze sanzionatorie o reputazionali  verifica della idoneità delle procedure a realizzare effettivamente l’obiettivo di prevenire il rischio di non conformità.

38


Il Risk Manager

39


Definizioni Cosa è il RM

Cosa non è il RM

La funzione aziendale di controllo di II livello, individuata in una specifica unità organizzativa (*) dedicata, incaricata della gestione e del controllo dei rischi Il RM va tenuto indipendente e distinto dalle funzioni aziendali incaricate della gestione operativa dei rischi, che incidono sull’assunzione dei rischi e pertanto sono in grado di modificare il profilo di rischio della banca

(*) Ad eccezione dei casi di accorpamento con la compliance

40


Posizione organizzativa Principio della libertĂ e autonomia organizzativa Tuttavia

bisogna

garantire

indipendenza

pur

mantenendo vicinanza al contesto operativo

41


La declinazione del principio di proporzionalitĂ ridotte dimensioni operativitĂ  non complessa modello di business non complesso

RM e Compliance possono essere accorpati 42


Poteri

Potere di “veto”

dà pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi

In concreto, quali potrebbero essere le “operazioni di maggiore rilevanza”?

I vostri orientamenti. . .

In caso di parere negativo si attivano procedure di escalation

43


Compiti Verifica

corretto svolgimento del monitoraggio andamentale sulle singole esposizioni creditizie

44


DISPOSIZIONI SU PARTICOLARI CATEGORIE DI RISCHIO: il rischio di credito

45


Disposizioni su particolari categorie di rischio  Il rischio di credito: tutto confermato tranne….  Formalizzazione dei criteri di classificazione, valutazione e gestione delle posizioni deteriorate  Approccio olistico alla valutazione del merito creditizio: non solo numeri!  Informatizzazione del processo di rilevazione delle anomalie e delle perdite  Procedure di escalation per la deroga ai criteri di classificazione, valutazione e gestione delle esposizioni deteriorate  Fattori da tenere presenti nella valutazione delle posizioni deteriorate  Verifica corretto svolgimento monitoraggio, coerenza classificazioni e congruità accantonamenti da parte del RM  Informativa agli organi sul funzionamento delle procedure interne di classificazione e valutazione46 dei crediti


Disposizioni su particolari categorie di rischio ď&#x201A;&#x2014; Formalizzazione dei criteri di classificazione, valutazione e gestione delle posizioni deteriorate ď&#x201A;&#x2014; Lâ&#x20AC;&#x2122;intero processo di gestione del rischio di credito e di controparte (misurazione del rischio, istruttoria, erogazione, controllo andamentale e monitoraggio delle esposizioni, revisione delle linee di credito, classificazione delle posizioni di rischio, interventi in caso di anomalia, criteri di classificazione, valutazione e gestione delle esposizioni deteriorate) deve risultare dal regolamento interno ed essere periodicamente sottoposto a verifica. 47


Disposizioni su particolari categorie di rischio ď&#x201A;&#x2014; Approccio olistico alla valutazione del merito creditizio (non solo numeri!) ď&#x201A;&#x2014; Nel caso di affidamenti ad imprese, sono acquisiti i bilanci (individuali e, se disponibili, consolidati), le altre informazioni desumibili dalla Centrale dei Bilanci e ogni altra informazione, significativa e rilevante, per valutare la situazione aziendale attuale e prospettica dellâ&#x20AC;&#x2122;impresa, anche di carattere qualitativo (validitĂ del progetto imprenditoriale, assetti proprietari, esame della situazione del settore economico di appartenenza, situazione dei mercati di sbocco e di fornitura, ecc.). 48


Disposizioni su particolari categorie di rischio  Informatizzazione del processo di rilevazione delle anomalie e delle perdite  Il controllo andamentale e il monitoraggio delle singole esposizioni devono essere svolti con sistematicità, avvalendosi di procedure efficaci in grado di segnalare tempestivamente l’insorgere di anomalie e di assicurare l’adeguatezza delle rettifiche di valore e dei passaggi a perdita.

49


Disposizioni su particolari categorie di rischio  Procedure di escalation per la deroga ai criteri di classificazione, valutazione e gestione delle esposizioni deteriorate I criteri di classificazione, valutazione e gestione delle esposizioni deteriorate, nonché le relative unità responsabili devono essere stabiliti dall’organo con funzione di supervisione strategica con apposita delibera che indichi anche le modalità di raccordo tra tali criteri e quelli previsti per le segnalazioni di vigilanza. La deroga all’applicazione dei criteri prefissati è consentita esclusivamente in casi predeterminati e seguendo procedure rafforzate, che prevedano il coinvolgimento dell’organo con funzione di gestione. 50


Disposizioni su particolari categorie di rischio  Fattori da tenere presenti nella valutazione delle posizioni deteriorate ….la determinazione del valore di recupero dei crediti deteriorati tiene conto dei seguenti fattori: i) tipologia di procedura esecutiva attivata ed esito delle fasi già esperite; ii) valore di pronto realizzo delle garanzie (calcolando per i beni immobili haircut in funzione dell’aggiornamento della perizia e del contesto di mercato; per le attività finanziarie scarti coerenti con la natura del prodotto e la situazione di mercato); iii) criteri per la stima del periodo di recupero e dei tassi di attualizzazione dei flussi attesi. Le suddette indicazioni sono periodicamente aggiornate sulla base dell’evoluzione del quadro di riferimento. 51


Disposizioni su particolari categorie di rischio La valutazione delle posizioni deteriorate: lo stato dell’arte nell’esperienza di vigilanza

 Classificazione  Scarsa considerazione informazioni di bilancio

 Assenza di una disciplina specifica per i gruppi (rischio di “contagio”)

 Valutazione  Assenza/genericità policy in materia di valutazione degli

immobili (tipologia di perizie da acquisire, contenuto minimo degli elaborati)  Haircut non differenziati attendibilità della perizia  Insufficiente considerazione (previsione su aste deserte)  Sostanziale reale/personale

equiparazione

per del

anzianità

e

contesto

crediti

con

di

grado

di

mercato garanzia

 Indeterminatezza criteri di valutazione analitica degli incagli 52  Stime ottimistiche e “non oggettive” sui tempi di recupero


Disposizioni su particolari categorie di rischio  Verifica corretto svolgimento monitoraggio, coerenza classificazioni e congruità accantonamenti da parte del RM  La verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate, e la valutazione della coerenza delle classificazioni, della congruità degli accantonamenti e dell’adeguatezza del processo di recupero è svolta, a livello centrale e periferico, dalla funzione di controllo dei rischi o, per le banche di maggiore dimensione e complessità operativa, da una specifica unità, che riporta al responsabile della funzione di controllo dei rischi.  Tali unità verificano, tra l’altro, l’operato delle unità operative e di recupero crediti, assicurando la corretta classificazione delle esposizioni deteriorate e l’adeguatezza del relativo grado di irrecuperabilità. I controlli dovranno riguardare tra l’altro: la presenza di aggiornati valori peritali delle garanzie; la registrazione nelle procedure automatiche di tutte le informazioni necessarie per la valutazione dei crediti; la tracciabilità del processo di recupero; le stime dei tempi di recupero e i tassi di attualizzazione utilizzati.  Nel caso di valutazioni discordanti, si applicano le valutazioni 53 formulate dalla funzione di controllo dei rischi.


Disposizioni su particolari categorie di rischio  Informativa agli organi sul funzionamento delle procedure interne di classificazione e valutazione dei crediti  Gli organi aziendali, nell’ambito delle rispettive competenze, sono costantemente aggiornati dei risultati conseguiti nell’applicazione dei criteri e delle procedure individuate e valutano l’esigenza di definire interventi di miglioramento di tali criteri e procedure.

54


Grazie per lâ&#x20AC;&#x2122;attenzione

55

Le nuove disposizioni sul sistema dei controlli interni  
Read more
Read more
Similar to
Popular now
Just for you