Il Sistema di Controllo Interno e l'Internal Audit: overview e riflessioni sui principi del Basel Committeeon Banking Supervision - 13 dicembre ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
13 dicembre 2012
Il Sistema di Controllo Interno e
l’Internal Audit:
overview e riflessioni sui principi
del Basel Committee on Banking
Supervision
Fabrizio Quasso
1
AGENDA
1. Overview of the principles
2 . S e z i o n e a ) Aspettative delle Autorità di Vigilanza riguardo la
Funzione IA
3 . S e z i o n e b ) La relazione fra Autorità di Vigilanza e Funzione
IA
4 . S e z i o n e c ) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione di
Banca d’Italia
2
1. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
di Banca d’Italia
3Overview of the principles
Le nuove linee guida del Basel Committee on Banking Supervision
«The internal audit function in banks» - giugno 2012
Il documento rilasciato dal Basel Committee on Banking Supervision:
aggiorna e sostituisce la precedente guidance del 2001 «Internal Audit
in banks and the supervisor’s relationship with auditors»
fornisce linee guida per l’impostazione della funzione di Internal Audit
(IA) nelle banche e sui rapporti (di relazione e valutazione) con le
Autorità di Vigilanza
4Overview of the principles
I 20 principi delle Linee Guida del Basel Committee
Le linee guida sviluppano 3 temi importanti per la nostra professione
attraverso 20 Principi
1. Aspettative delle Autorità di
Vigilanza riguardo la Funzione IA Principi
Supervisory expectations relevant to the 1 - 15
internal audit function
2. La relazione fra Autorità di
Vigilanza e Funzione IA Principio
The relationship of the supervisory 16
authority with the internal audit function Veri
elementi
3. Assessment dell’IA da parte delle di novità
Autorità di Vigilanza
Principi
17 - 20
Supervisory assessment of the internal
audit function
5Overview of the principles
Elementi chiave delle linee guida
Le linee guida del Basel Committee enunciano due punti cardine:
1. Le banche devono dotarsi di una Funzione IA con sufficiente
«autorità, statura, indipendenza, risorse e accesso al Board»
Forte è il richiamo ai contenuti degli Standard per la Pratica Professionale in
materia di finalità, poteri, responsabilità, indipendenza ed obiettività della
Funzione IA
2. Un Sistema di Controllo Interno «forte» comprende una Funzione IA
indipendente ed efficace
Le linee guida del Committee ribadiscono il ruolo dell’IA nell’identificazione
dei punti di debolezza del SCI e nella funzione di «assurance» svolta nei
confronti del Board e del Management sulla qualità del SCI
6Overview of the principles
Obiettivi perseguiti dalle linee guida del Committee
Il Basel Committee con la guidance The internal audit in banks si pone gli
obiettivi «ambiziosi» di:
promuovere il rafforzamento delle funzioni IA del settore bancario
fornire alle Authorities una guida per il processo valutativo dell’IA
E non ultimo…
…incoraggiare le Funzioni IA a rispettare e contribuire allo sviluppo degli
standard internazionali in materia di auditing interno
71. Overview of the principles
2 . S e z i o n e a ) Aspettative delle Autorità di Vigilanza riguardo
la Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
di Banca d’Italia
8Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
I principi enunciati (1/2)
1. Assurance indipendente su qualità e Standard di riferimento
funzionalità di SCI, gestione dei rischi e
corporate governance
2. Indipendenza ed obiettività dell’IA 1000 – Finalità, Poteri e
Responsabilità
3. Competenza professionale degli auditor e
della funzione
1100 – Indipendenza e
4. Integrità degli auditor Obiettività
5. Mandato dell’IA (audit charter)
6. Ambito di operatività dell’IA (audit scope) 1200 – Competenza e
Diligenza Professionale
7. Adeguata copertura delle tematiche
regolamentari (es. RM, compliance, finanza,
adeguatezza capitale, liquidità)
9Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
I principi enunciati (2/2)
Standard di riferimento
8. Funzione IA permanente
9. Responsabilità del Board e del senior
management
2060 – Informazione
10. Responsabilità dell’Audit Committee
periodica al Senior
11. Conformità agli standard internazionali e al codice Management e al Board
etico
12. Linea di riporto gerarchico 2070 – Prestatore esterno di
servizi e responsabilità
13. Ruolo IA come terza linea di difesa (controlli di organizzativa sull’internal
terzo livello) auditing
14. Ruolo dell’IA all’interno di un gruppo
15. Outsourcing dell’IA e responsabilità del Board
10Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
Punti di attenzione
I primi 15 principi del documento non apportano novità sostanziali rispetto alle
caratteristiche di «connotazione» e di «prestazione» normalmente richieste
alla funzione di audit interno dagli Standard Internazionali
SI, se….
la funzione IA è già allineata alle guidance vincolanti della nostra professione:
DEFINIZIONE, STANDARD INTERNAZIONALI e CODICE ETICO
i cui contenuti trovano forti analogie con i principi enunciati dal documento
del Basel Committee
111. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
Funzione IA
3 . S e z i o n e b ) La relazione fra Autorità di Vigilanza e Funzione
IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
di Banca d’Italia
12La relazione fra Autorità di Vigilanza e Funzione IA
Il Principio 16
La Sezione b) del documento introduce con il Principio 16 l’importanza di un
puntuale canale di comunicazione fra Autorità di Vigilanza e funzione IA
da un lato introduce un dall’altro recepisce formalmente
importante elemento di una modalità di approccio
novità a livello di best sempre più adottata dalle
practice internazionali Authorities
Il Basel Committee individua in proposito tre obiettivi del confronto fra Autorità
di Vigilanza e IA:
discutere delle aree di rischio identificate da entrambe le parti
comprendere le misure di mitigazione dei rischi intraprese dalla banca
conoscerne lo stato di avanzamento
13La relazione fra Autorità di Vigilanza e Funzione IA
Argomenti di discussione (1/2)
La guidance individua fra i potenziali argomenti di discussione:
le aree evidenziate nel Principio 7 (identificazione, monitoraggio,
controllo e reporting dei rischi)
Argomenti tradizionalmente di
processi rilevanti ai fini del Pillar II (Basilea 2) competenza della revisione
piani di contingency esterna e che rientrano
a pieno titolo nel campo
accordi di esternalizzazione dell’IA
rischio frode
processi amministrativi e contabili (fair value, impairment,
transazioni finanziarie significative, etc.)
aspetti normativi di settore (es. trasparenza, AML, conflitti di
interesse)
processi per la fissazione di obiettivi e decisioni strategiche Focus su
strategie
qualità e sostanza della gestione e governo di strutture e ruolo
e processi dell’IA
14La relazione fra Autorità di Vigilanza e Funzione IA
Argomenti di discussione (2/2)
Focus su
Strategia della banca e ruolo della funzione IA
strategie
e ruolo
Il Board e il senior management hanno la responsabilità della
dell’IA strategia e del modello di business
Sebbene l’IA non debba interferire nelle decisioni di cui sopra si trova in una
posizione tale da poter stimolare il management a riflessioni sulle scelte
strategiche, i cui cambiamenti possono influenzare i sistemi di controllo
interno, gestione dei rischi e corporate governance
Per noi una sfida importante, ma anche un tema su cui ci si interroga già :
«Internal Audit»
aprile-giugno ’12
intervista a Denny K. Beran
Pres. IIA 2011-2012
Siamo pronti a raccogliere la sfida?
15La relazione fra Autorità di Vigilanza e Funzione IA
Modalità di confronto
Il Basel Committee evidenzia alcuni elementi che dovrebbero qualificare la
modalità di confronto fra Autorità di Vigilanza e funzione IA
il Supervisory dovrebbe decidere caso per caso circa la presenza o meno
del senior management agli incontri con la funzione IA
la frequenza degli incontri dovrebbe consentire al Supervisory di acquisire
contezza sull’efficacia delle azioni di implementazione adottate dalle
banche (in risposta sia ai rilievi della vigilanza che dell’IA)
nel rapporto Supervisory – IA:
IL SUPERVISORY PUO’
condividere informazioni rilevanti con esprimere raccomandazioni per il
l’IA quando queste possano rafforzare rafforzamento della funzione IA e
l’efficacia dell’azione di audit dell’ambiente di controllo
16La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (1/4)
Oltre ad approfondire aree di rischio e punti di debolezza, il rafforzamento
della relazione fra Supervisors e IA è delineato come uno strumento che
consente alla vigilanza di migliorare la conoscenza della funzione IA
(posizione, organizzazione, competenze, etc.).
Vengono posti comunque due importanti principi:
il potenziamento delle «does not undermine their
comunicazioni non deve respective perceived and actual
independence and status»
minare la rispettiva
«supervisory authority and the IA
indipendenza function each have different roles
and responsibilities»
il rapporto deve essere «relationship established in a
stabilito in modo strutturato structured and transparent way»
e trasparente «engaging a constructive and
formalised dialogue»
17La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (2/4)
Il rafforzamento della relazione fra Autorità di Vigilanza e IA nei termini previsti
dal Basel Committee può portare evidenti benefici alla nostra Professione
Migliore conoscenza
Aumento della delle aspettative
visibilità della Vigilanza
Pianificazione più
efficace delle attività
di assurance
Più ampio
riconoscimento del Maggiore incisività
ruolo dell’attività di
consulenza
Non senza comportare potenziali Rischi…
18La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (3/4)
Quali
Riservatezza
rischi?
Regole di «L’internal auditor deve rispettare il valore e la proprietà delle
informazioni che riceve ed è tenuto a non divulgarle senza
Condotta del autorizzazione, salvo che lo impongano motivi di ordine
Codice Etico legale o deontologico»
2440.A2 – Divulgazione dei risultati
«Se non diversamente prescritto da leggi, statuti o
regolamenti, prima di comunicare i risultati a terze parti
esterne all’organizzazione, il responsabile internal auditing
Standard deve:
Internazionali valutare i potenziali rischi per l’organizzazione;
consultare il senior management e/o l’ufficio legale a
seconda delle circostanze;
controllare la divulgazione disponendo limitazioni all’utilizzo
dei risultati»
19La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (4/4)
Le Guide Interpretative agli Standard (2440.A2) e lo stesso documento del
Basel Committe - «relationship established in a structure and transaprent
way» - forniscono elementi importanti per affrontare correttamente la
questione:
le modalità di divulgazione di informazioni all’esterno dovrebbero essere
regolate nell’ambito delle policy interne dell’organizzazione a partire dal
Mandato di Audit (es. indicazione delle autorizzazioni da richiedere,
persone esterne autorizzate a riceverle, tipologia di informazioni, etc.)
gli strumenti di reporting adottati dall’IA verso gli enti di vigilanza
dovranno essere omogenei a quelli adottati all’interno dell’azienda verso il
senior management e gli organi societari (es. Tableau de Bord)
201. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4 . S e z i o n e c ) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
di Banca d’Italia
21Assessment dell’IA da parte delle Autorità di Vigilanza
Logiche e finalità dell’assessment
Il Basel Committee sancisce un principio importante che è al tempo stesso un
riconoscimento per la nostra Professione:
I risultati dell’assessment
influenzeranno
Novità di rilievo
nelle best practice
internazionali
la valutazione complessiva della la misura in cui l’Autorità di Vigilanza
banca da parte dell’Autorità di potrà fare affidamento sul lavoro
Vigilanza svolto dall’IA
22Assessment dell’IA da parte delle Autorità di Vigilanza
I principi enunciati
L’Autorità di Vigilanza dovrebbe:
valutare periodicamente lo standing e l’autorevolezza
Principio 17 dell’IA all’interno della banca e la coerenza del suo
operato con gli standard
riferire al Board le debolezze rilevate nella funzione di
Principio 18
IA e richiedere azioni correttive
considerare l'impatto del giudizio sulla funzione di IA
Principio 19 nella valutazione del profilo di rischio della banca e
della sua stessa attività di vigilanza
richiedere al Board e al senior management,
formalmente o informalmente, di rimediare ad eventuali
Principio 20
carenze riscontrate nella funzione di IA entro
scadenze definite e fornendo relazioni scritte
23Assessment dell’IA da parte delle Autorità di Vigilanza
Caratteristiche dell’assessment
L’assessment della funzione IA da parte dei Supervisors:
1. dovrà essere basato sulla valutazione dell’adeguatezza dell’IA rispetto ai
Principi 1 – 15 (Sezione a)
2. deve svolgersi in maniera indipendente dalle valutazioni attuate dall’Audit
Committee e dalla medesima funzione IA che come noto
devono sviluppare e curare Tema non
strumenti di Quality Assessment interni propriamente
nuovo, almeno
per noi…
Standard 1300 – Programma di
Assurance e miglioramento della Qualità
241. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
di Banca d’Italia
25Relazioni con il Documento per la consultazione di Banca d’Italia
Alcuni punti di contatto
Per molti dei principi enunciati nella guidance del Basel Committee è possibile
individuare aspetti comuni con i contenuti trattati da Banca d’Italia nel Documento per la
Consultazione, con forti analogie sul ruolo previsto per l’IA nel processo di gestione dei
rischi
Documento per la consultazione Banca d’Italia The internal audit function in banks
Paragrafo 3.4 Principle 7 “..adequate coverage of matters of
regulatory interest within the audit plan”
Illustra i requisiti attesi per la Funzione di
Revisione Interna richiamando fra gli altri i temi Requisiti attesi: v. principi 1 - 15 Sezione a)
dell’indipendenza, della linea di riporto gerarchico,
dell’accesso diretto agli organi societari, etc. in In merito alla gestione dei rischi la guidance è
forte analogia con i principi previsti dal Basel ancora più pervasiva:
Committee nella Sezione a. prevedendo un ruolo attivo dell’IA nella
valutazione degli aspetti organizzativi e
Con particolare riferimento al processo di gestione operativi della funzione di risk management
dei rischi l’IA valuta l’adeguatezza della funzione richiamando l’attenzione ai compiti di verifica e
di risk management, l’appropriatezza delle ipotesi valutazione dei processi di capital adequacy,
utilizzate, l’allineamento con le best practice liquidity e della funzione finance.
nonché degli strumenti usati per il controllo dei
rischi.
26Relazioni con il Documento per la consultazione di Banca d’Italia
Spunti di riflessione
Alcuni spunti di riflessione evidenziati dall’AIIA
L’AIIA nelle proprie osservazioni al Documento di Banca d’Italia evidenzia
l’opportunità di recepire nelle nuove Istruzioni di Vigilanza alcuni concetti
espressi in maniera più incisiva nella guidance del Basel Committee in tema di:
ruolo dell’IA nella valutazione della qualità ed efficacia dei sistemi e
processi aziendali di governance
definizione dei principi di relazione della funzione IA con l’Autorità di
Vigilanza
richiamo esplicito ai principi di competenza e diligenza professionale previsti
dagli standard internazionali per i responsabili e i singoli auditors
Il contenuto del Documento di Banca d’Italia sarà approfondito nel prossimo
intervento
27Puoi anche leggere
