Il Sistema di Controllo Interno e l'Internal Audit: overview e riflessioni sui principi del Basel Committeeon Banking Supervision - 13 dicembre ...

 
Il Sistema di Controllo Interno e l'Internal Audit: overview e riflessioni sui principi del Basel Committeeon Banking Supervision - 13 dicembre ...
13 dicembre 2012

Il Sistema di Controllo Interno e
         l’Internal Audit:
overview e riflessioni sui principi
del Basel Committee on Banking
           Supervision

             Fabrizio Quasso

                                      1
Il Sistema di Controllo Interno e l'Internal Audit: overview e riflessioni sui principi del Basel Committeeon Banking Supervision - 13 dicembre ...
AGENDA

1. Overview of the principles
2 . S e z i o n e a ) Aspettative delle Autorità di Vigilanza riguardo la
    Funzione IA
3 . S e z i o n e b ) La relazione fra Autorità di Vigilanza e Funzione
    IA
4 . S e z i o n e c ) Assessment dell’IA da parte delle Autorità di
    Vigilanza
5. The internal audit in banks vs. Documento di Consultazione di
    Banca d’Italia

                                                                            2
Il Sistema di Controllo Interno e l'Internal Audit: overview e riflessioni sui principi del Basel Committeeon Banking Supervision - 13 dicembre ...
1. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
   Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
   Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
   di Banca d’Italia

                                                                     3
Overview of the principles
Le nuove linee guida del Basel Committee on Banking Supervision

       «The internal audit function in banks» - giugno 2012

Il documento rilasciato dal Basel Committee on Banking Supervision:
   aggiorna e sostituisce la precedente guidance del 2001 «Internal Audit
    in banks and the supervisor’s relationship with auditors»
   fornisce linee guida per l’impostazione della funzione di Internal Audit
    (IA) nelle banche e sui rapporti (di relazione e valutazione) con le
    Autorità di Vigilanza

                                                                               4
Overview of the principles
I 20 principi delle Linee Guida del Basel Committee

 Le linee guida sviluppano 3 temi importanti per la nostra professione
 attraverso 20 Principi
1. Aspettative delle Autorità di
   Vigilanza riguardo la Funzione IA                  Principi
   Supervisory expectations relevant to the            1 - 15
   internal audit function

2. La relazione fra Autorità           di
   Vigilanza e Funzione IA                        Principio
   The relationship of the supervisory               16
   authority with the internal audit function                       Veri
                                                                 elementi
3. Assessment dell’IA da parte delle                             di novità
   Autorità di Vigilanza
                                                      Principi
                                                      17 - 20
   Supervisory assessment of the internal
   audit function

                                                                             5
Overview of the principles
Elementi chiave delle linee guida

 Le linee guida del Basel Committee enunciano due punti cardine:
1. Le banche devono dotarsi di una Funzione IA con sufficiente
   «autorità, statura, indipendenza, risorse e accesso al Board»

 Forte è il richiamo ai contenuti degli Standard per la Pratica Professionale in
 materia di finalità, poteri, responsabilità, indipendenza ed obiettività della
 Funzione IA
2. Un Sistema di Controllo Interno «forte» comprende una Funzione IA
   indipendente ed efficace

Le linee guida del Committee ribadiscono il ruolo dell’IA nell’identificazione
dei punti di debolezza del SCI e nella funzione di «assurance» svolta nei
confronti del Board e del Management sulla qualità del SCI
                                                                                   6
Overview of the principles
Obiettivi perseguiti dalle linee guida del Committee

 Il Basel Committee con la guidance The internal audit in banks si pone gli
 obiettivi «ambiziosi» di:
      promuovere il rafforzamento delle funzioni IA del settore bancario
      fornire alle Authorities una guida per il processo valutativo dell’IA

     E non ultimo…

     …incoraggiare le Funzioni IA a rispettare e contribuire allo sviluppo degli

     standard internazionali        in materia di auditing interno

                                                                                   7
1. Overview of the principles
2 . S e z i o n e a ) Aspettative delle Autorità di Vigilanza riguardo
    la Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
    Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
    di Banca d’Italia

                                                                         8
Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
I principi enunciati (1/2)

 1. Assurance     indipendente     su     qualità   e   Standard di riferimento

     funzionalità di SCI, gestione dei rischi e
     corporate governance
 2. Indipendenza ed obiettività dell’IA                 1000 – Finalità, Poteri e
                                                            Responsabilità
 3. Competenza professionale degli auditor e
     della funzione
                                                         1100 – Indipendenza e
 4. Integrità degli auditor                                    Obiettività

 5. Mandato dell’IA (audit charter)
 6. Ambito di operatività dell’IA (audit scope)          1200 – Competenza e
                                                        Diligenza Professionale
 7. Adeguata      copertura      delle    tematiche
     regolamentari (es. RM, compliance, finanza,
     adeguatezza capitale, liquidità)
                                                                                    9
Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
I principi enunciati (2/2)

                                                             Standard di riferimento
8. Funzione IA permanente
9. Responsabilità     del    Board     e     del   senior
   management
                                                              2060 – Informazione
10. Responsabilità dell’Audit Committee
                                                               periodica al Senior
11. Conformità agli standard internazionali e al codice      Management e al Board

   etico
12. Linea di riporto gerarchico                             2070 – Prestatore esterno di
                                                               servizi e responsabilità
13. Ruolo IA come terza linea di difesa (controlli di        organizzativa sull’internal
   terzo livello)                                                      auditing

14. Ruolo dell’IA all’interno di un gruppo
15. Outsourcing dell’IA e responsabilità del Board

                                                                                           10
Aspettative delle Autorità di Vigilanza riguardo la Funzione IA
Punti di attenzione

I primi 15 principi del documento non apportano novità sostanziali rispetto alle
caratteristiche di «connotazione» e di «prestazione» normalmente richieste
alla funzione di audit interno dagli Standard Internazionali

                                    SI, se….
  la funzione IA è già allineata alle guidance vincolanti della nostra professione:

       DEFINIZIONE, STANDARD INTERNAZIONALI e CODICE ETICO

   i cui contenuti trovano forti analogie con i principi enunciati dal documento
                                del Basel Committee
                                                                                      11
1. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
    Funzione IA
3 . S e z i o n e b ) La relazione fra Autorità di Vigilanza e Funzione
    IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
    Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
    di Banca d’Italia

                                                                          12
La relazione fra Autorità di Vigilanza e Funzione IA
Il Principio 16

La Sezione b) del documento introduce con il Principio 16 l’importanza di un
puntuale canale di comunicazione fra Autorità di Vigilanza e funzione IA

da un lato introduce un                        dall’altro recepisce formalmente
importante     elemento di                     una modalità di approccio
novità a livello di best                       sempre più adottata dalle
practice internazionali                        Authorities

Il Basel Committee individua in proposito tre obiettivi del confronto fra Autorità
di Vigilanza e IA:
 discutere delle aree di rischio identificate da entrambe le parti
 comprendere le misure di mitigazione dei rischi intraprese dalla banca
 conoscerne lo stato di avanzamento
                                                                                     13
La relazione fra Autorità di Vigilanza e Funzione IA
Argomenti di discussione (1/2)

  La guidance individua fra i potenziali argomenti di discussione:
   le aree evidenziate nel Principio 7 (identificazione, monitoraggio,
    controllo e reporting dei rischi)
                                                           Argomenti tradizionalmente di
   processi rilevanti ai fini del Pillar II (Basilea 2)   competenza della revisione
   piani di contingency                                   esterna e che rientrano
                                                           a pieno titolo nel campo
   accordi di esternalizzazione                           dell’IA
   rischio frode
   processi amministrativi e contabili (fair value, impairment,
     transazioni finanziarie significative, etc.)
   aspetti normativi di settore (es. trasparenza, AML, conflitti di
     interesse)
   processi per la fissazione di obiettivi e decisioni strategiche           Focus su
                                                                              strategie
   qualità e sostanza della gestione e governo di strutture                   e ruolo
    e processi                                                                 dell’IA

                                                                                          14
La relazione fra Autorità di Vigilanza e Funzione IA
  Argomenti di discussione (2/2)

Focus su
                  Strategia della banca e ruolo della funzione IA
strategie
 e ruolo
            Il Board e il senior management hanno la responsabilità della
 dell’IA                   strategia e del modello di business

  Sebbene l’IA non debba interferire nelle decisioni di cui sopra si trova in una
  posizione tale da poter stimolare il management a riflessioni sulle scelte
  strategiche, i cui cambiamenti possono influenzare i sistemi di controllo
  interno, gestione dei rischi e corporate governance

      Per noi una sfida importante, ma anche un tema su cui ci si interroga già :
                                                                  «Internal Audit»
                                                                  aprile-giugno ’12
                                                                  intervista a Denny K. Beran
                                                                  Pres. IIA 2011-2012
                      Siamo pronti a raccogliere la sfida?
                                                                                           15
La relazione fra Autorità di Vigilanza e Funzione IA
Modalità di confronto

Il Basel Committee evidenzia alcuni elementi che dovrebbero qualificare la
modalità di confronto fra Autorità di Vigilanza e funzione IA
 il Supervisory dovrebbe decidere caso per caso circa la presenza o meno
  del senior management agli incontri con la funzione IA
 la frequenza degli incontri dovrebbe consentire al Supervisory di acquisire
  contezza sull’efficacia delle azioni di implementazione adottate dalle
  banche (in risposta sia ai rilievi della vigilanza che dell’IA)
 nel rapporto Supervisory – IA:
                          IL SUPERVISORY PUO’

condividere informazioni rilevanti con   esprimere raccomandazioni per il
l’IA quando queste possano rafforzare    rafforzamento della funzione IA e
l’efficacia dell’azione di audit         dell’ambiente di controllo

                                                                                16
La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (1/4)

Oltre ad approfondire aree di rischio e punti di debolezza, il rafforzamento
della relazione fra Supervisors e IA è delineato come uno strumento che
consente alla vigilanza di migliorare la conoscenza della funzione IA
(posizione, organizzazione, competenze, etc.).

Vengono posti comunque due importanti principi:

 il   potenziamento    delle                 «does     not     undermine   their
  comunicazioni non deve                      respective perceived and actual
                                              independence and status»
  minare      la    rispettiva
                                              «supervisory authority and the IA
  indipendenza                                function each have different roles
                                              and responsibilities»

 il rapporto deve essere                     «relationship established in a
  stabilito in modo strutturato               structured and transparent way»
  e trasparente                               «engaging a constructive and
                                              formalised dialogue»

                                                                                    17
La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (2/4)

Il rafforzamento della relazione fra Autorità di Vigilanza e IA nei termini previsti
dal Basel Committee può portare evidenti benefici alla nostra Professione

                                                      Migliore conoscenza
   Aumento della                                       delle aspettative
     visibilità                                         della Vigilanza
                             Pianificazione più
                            efficace delle attività
                                 di assurance
        Più ampio
    riconoscimento del                                Maggiore incisività
          ruolo                                        dell’attività di
                                                         consulenza

Non senza comportare potenziali       Rischi…

                                                                                       18
La relazione fra Autorità di Vigilanza e Funzione IA
   Rischi e opportunità (3/4)

  Quali
                                Riservatezza
rischi?
     Regole di                 «L’internal auditor deve rispettare il valore e la proprietà delle
                                informazioni che riceve ed è tenuto a non divulgarle senza
      Condotta del              autorizzazione, salvo che lo impongano motivi di ordine
      Codice Etico              legale o deontologico»

                                2440.A2 – Divulgazione dei risultati

                                «Se non diversamente prescritto da leggi, statuti o
                                regolamenti, prima di comunicare i risultati a terze parti
                                esterne all’organizzazione, il responsabile internal auditing
     Standard                  deve:
      Internazionali             valutare i potenziali rischi per l’organizzazione;
                                 consultare il senior management e/o l’ufficio legale a
                                  seconda delle circostanze;
                                 controllare la divulgazione disponendo limitazioni all’utilizzo
                                  dei risultati»

                                                                                                     19
La relazione fra Autorità di Vigilanza e Funzione IA
Rischi e opportunità (4/4)

Le Guide Interpretative agli Standard (2440.A2) e lo stesso documento del
Basel Committe - «relationship established in a structure and transaprent
way» - forniscono elementi importanti per affrontare correttamente la
questione:

 le modalità di divulgazione di informazioni all’esterno dovrebbero essere
  regolate nell’ambito delle policy interne dell’organizzazione a partire dal
  Mandato di Audit (es. indicazione delle autorizzazioni da richiedere,
  persone esterne autorizzate a riceverle, tipologia di informazioni, etc.)

 gli strumenti di reporting adottati dall’IA verso gli enti di vigilanza
  dovranno essere omogenei a quelli adottati all’interno dell’azienda verso il
  senior management e gli organi societari (es. Tableau de Bord)

                                                                                 20
1. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
   Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4 . S e z i o n e c ) Assessment dell’IA da parte delle Autorità di
   Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
   di Banca d’Italia

                                                                      21
Assessment dell’IA da parte delle Autorità di Vigilanza
Logiche e finalità dell’assessment

Il Basel Committee sancisce un principio importante che è al tempo stesso un
                 riconoscimento per la nostra Professione:

                        I risultati dell’assessment
                              influenzeranno
                                                          Novità di rilievo
                                                         nelle best practice
                                                           internazionali

la valutazione complessiva della       la misura in cui l’Autorità di Vigilanza
banca da parte dell’Autorità di        potrà fare affidamento sul lavoro
Vigilanza                              svolto dall’IA

                                                                                  22
Assessment dell’IA da parte delle Autorità di Vigilanza
I principi enunciati

 L’Autorità di Vigilanza dovrebbe:
                        valutare periodicamente lo standing e l’autorevolezza
Principio 17            dell’IA all’interno della banca e la coerenza del suo
                        operato con gli standard

                        riferire al Board le debolezze rilevate nella funzione di
Principio 18
                        IA e richiedere azioni correttive

                        considerare l'impatto del giudizio sulla funzione di IA
Principio 19            nella valutazione del profilo di rischio della banca e
                        della sua stessa attività di vigilanza

                        richiedere al Board e al senior management,
                        formalmente o informalmente, di rimediare ad eventuali
Principio 20
                        carenze riscontrate nella funzione di IA entro
                        scadenze definite e fornendo relazioni scritte

                                                                                    23
Assessment dell’IA da parte delle Autorità di Vigilanza
Caratteristiche dell’assessment

        L’assessment della funzione IA da parte dei Supervisors:
 1. dovrà essere basato sulla valutazione dell’adeguatezza dell’IA rispetto ai
                           Principi 1 – 15 (Sezione a)

2. deve svolgersi in maniera indipendente dalle valutazioni attuate dall’Audit
           Committee e dalla medesima funzione IA che come noto

                         devono sviluppare e curare                Tema non
                 strumenti di Quality Assessment interni         propriamente
                                                                 nuovo, almeno
                                                                   per noi…
                         Standard 1300 – Programma di
                      Assurance e miglioramento della Qualità

                                                                                 24
1. Overview of the principles
2. Sezione a) Aspettative delle Autorità di Vigilanza riguardo la
   Funzione IA
3. Sezione b) La relazione fra Autorità di Vigilanza e Funzione IA
4. Sezione c) Assessment dell’IA da parte delle Autorità di
   Vigilanza
5. The internal audit in banks vs. Documento di Consultazione
   di Banca d’Italia

                                                                     25
Relazioni con il Documento per la consultazione di Banca d’Italia
Alcuni punti di contatto

Per molti dei principi enunciati nella guidance del Basel Committee è possibile
individuare aspetti comuni con i contenuti trattati da Banca d’Italia nel Documento per la
Consultazione, con forti analogie sul ruolo previsto per l’IA nel processo di gestione dei
rischi
Documento per la consultazione Banca d’Italia                 The internal audit function in banks

Paragrafo 3.4                                           Principle 7 “..adequate coverage of matters of
                                                        regulatory interest within the audit plan”
Illustra i requisiti attesi per la Funzione di
Revisione Interna richiamando fra gli altri i temi      Requisiti attesi: v. principi 1 - 15 Sezione a)
dell’indipendenza, della linea di riporto gerarchico,
dell’accesso diretto agli organi societari, etc. in     In merito alla gestione dei rischi la guidance è
forte analogia con i principi previsti dal Basel        ancora più pervasiva:
Committee nella Sezione a.                               prevedendo un ruolo attivo dell’IA nella
                                                           valutazione degli aspetti organizzativi e
Con particolare riferimento al processo di gestione        operativi della funzione di risk management
dei rischi l’IA valuta l’adeguatezza della funzione      richiamando l’attenzione ai compiti di verifica e
di risk management, l’appropriatezza delle ipotesi         valutazione dei processi di capital adequacy,
utilizzate, l’allineamento con le best practice            liquidity e della funzione finance.
nonché degli strumenti usati per il controllo dei
rischi.

                                                                                                              26
Relazioni con il Documento per la consultazione di Banca d’Italia
Spunti di riflessione

                Alcuni spunti di riflessione evidenziati dall’AIIA
L’AIIA nelle proprie osservazioni al Documento di Banca d’Italia evidenzia
l’opportunità di recepire nelle nuove Istruzioni di Vigilanza alcuni concetti
espressi in maniera più incisiva nella guidance del Basel Committee in tema di:
 ruolo dell’IA nella valutazione della qualità ed efficacia dei sistemi e
  processi aziendali di governance
 definizione dei principi di relazione della funzione IA con l’Autorità di
  Vigilanza
 richiamo esplicito ai principi di competenza e diligenza professionale previsti
  dagli standard internazionali per i responsabili e i singoli auditors

Il contenuto del Documento di Banca d’Italia sarà approfondito nel prossimo
intervento
                                                                                    27
Puoi anche leggere
DIAPOSITIVE SUCCESSIVE ... Annulla