Firenze, 28 Febbraio 2013 Pagina 2
Indice
ß Introduzione
ß Assetti Organizzativi
ß Sistema dei Controlli Interni
ß Risk Governance
ß Conclusioni
ß Contatti
Firenze, 28 Febbraio 2013 Pagina 3
Tali aspetti sono strettamente correlati tra di loro, in quanto all’interno dei più generali assetti organizzativi
che un Confidi dovrebbe porre in essere, si innesta il sistema dei controlli interni, all’interno del quale la risk
governance ricopre un ruolo fondamentale.
Introduzione
Obiettivo della presentazione è illustrare gli Assetti Organizzativi, il Sistema dei Controlli Interni e la Risk
Governance nei Consorzi di Garanzia Collettiva dei Fidi di maggiori dimensioni.
RISK GOVERNANCE
ASSETTI
ORGANIZZATIVI
SISTEMA DEI CONTROLLI INTERNI
Firenze, 28 Febbraio 2013 Pagina 4
Assetti Organizzativi
Gli Assetti Organizzativi per i Confidi attualmente iscritti nell’Elenco Speciale sono disciplinati dalla Circolare di
Banca d’Italia n. 216 “Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell’Elenco Speciale”.
E’ necessario e opportuno inoltre considerare le “Disposizioni di attuazione al D.Lgs. 141”, (gennaio 2012) tenuto
conto della loro ormai prossima emissione definitiva da parte dell’Autorità di Vigilanza. Tale fonte normativa, che andrà
a sostituire la Circolare 216, detta dei requisiti organizzativi più stringenti.
PRINCIPI DI
ORGANIZZAZIONE
Circ. Banca d’Italia n.216
Disp. attuaz. al D.Lgs. 141
Firenze, 28 Febbraio 2013 Pagina 5
Assetti Organizzativi
Circ. Banca d’Italia n.216• I soggetti che svolgono funzioni di amministrazione e direzione presso gli
intermediari finanziari assumono un ruolo fondamentale ai fini della definizione di
un adeguato sistema organizzativo e del conseguimento di un efficiente sistema
dei controlli interni.
• La ripartizione di competenze tra gli organi aziendali deve garantire in ogni caso
una costante dialettica interna tra gli organi, evitando sovrapposizioni di competenze
che possano incidere sulla funzionalità aziendale.
• L’operato degli organi amministrativi deve essere sempre documentato, al fine
di consentire un controllo sugli atti gestionali e sulle decisioni assunte.
• La documentazione dell’azione amministrativa e la presenza di una dialettica costante
con l’alta direzione e il collegio sindacale assumono particolare rilevanza nel caso in cui
vi sia un amministratore unico.
PRINCIPI GENERALI DI ORGANIZZAZIONE
• Presupposto di un sistema di governo e controllo completo e funzionale è
l’esistenza di un’organizzazione aziendale adeguata per assicurare la sana e
prudente gestione degli intermediari e l’osservanza delle disposizioni loro applicabili.
Disposizioni di attuazione
al D.Lgs. 141
Per essere conformi alla disposizione in oggetto, i Confidi devono definire e adottare i presidi dettagliati nella slide
seguente:
Firenze, 28 Febbraio 2013 Pagina 6
Assetti Organizzativi
solidi dispositivi di governo societario nonché processi decisionali e una struttura organizzativa
adeguati. I rapporti gerarchici e la suddivisione delle funzioni sono definiti in forma chiara e documentata
politiche di governo e procedure per la gestione e il controllo dei rischi aziendali e per la
prevenzione dei conflitti di interesse, idonee ad assicurare la sana e prudente gestione dei rischi aziendali,
nel rispetto delle previsioni di cui al presente capitolo
criteri e procedure volti a garantire che l’affidamento di funzioni al personale o ai soggetti terzi di
cui l’intermediario si avvale per lo svolgimento delle proprie attività non sia tale da impedire loro di
svolgere in modo adeguato e professionale una qualsiasi di tali funzioni;
un efficace sistema dei controlli interni
misure che assicurino che il personale e i soggetti terzi di cui l’intermediario si avvale per lo svolgimento
delle proprie attività conoscano le procedure da seguire per il corretto esercizio delle proprie funzioni e siano
provvisti delle qualifiche, delle conoscenze e delle competenze necessarie per l’esercizio delle
responsabilità loro attribuite;
efficaci flussi interni di comunicazione delle informazioni
PRINCIPI GENERALI DI ORGANIZZAZIONE
ex Attuazione D.Lgs.141
1
2
3
4
5
6
Firenze, 28 Febbraio 2013 Pagina 7
Assetti Organizzativi
procedure e sistemi idonei a tutelare la sicurezza, l’integrità e la riservatezza delle informazioni,
tenendo conto della natura delle informazioni medesime;
politiche, sistemi, risorse e procedure per la continuità dell’attività e dei servizi, formalizzati in un apposito
piano aziendale di continuità operativa, adeguati ad assicurare la capacità di operare su base continuativa,
limitare le perdite in caso di gravi interruzioni dell’operatività, recuperare tempestivamente i dati e le funzioni al
fine di riprendere tempestivamente i servizi.
un sistema informativo idoneo a:
- fornire supporto alla conduzione delle attività e all’attuazione delle strategie aziendali;
- conservare registrazioni ordinate dei fatti di gestione dell’intermediario, della sua organizzazione interna e di
ogni operazione con il richiesto grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo
temporale;
- assicurare flussi informativi adeguati e tempestivi agli organi aziendali, alle funzioni di controllo e ad ogni
livello dell’organizzazione aziendale, con particolare riferimento ai dati necessari per il corretto esercizio delle
proprie responsabilità e per seguire l’evoluzione dei rischi;
- fornire alla Banca d'Italia un quadro fedele della posizione patrimoniale, economica e finanziaria
dell’intermediario;
7
8
9
PRINCIPI GENERALI DI ORGANIZZAZIONE
ex Attuazione D.Lgs.141
Firenze, 28 Febbraio 2013 Pagina 8
Assetti Organizzativi
In concreto l’implementazione di un sistema organizzativo completo si sostanzia nella definizione e
formalizzazione (o implementazione) dei seguenti principali presidi:
• Corporate Governance;
• Struttura Organizzativa: Regolamento aziendale/ Funzionigramma/ Organigramma che
definiscano chiaramente ruoli e responsabilità delle diverse strutture aziendali, gerarchie e relativi
riporti;
• Policy di gestione dei rischi aziendali e per la prevenzione di Conflitti di Interesse;
• Sistema di Controlli Interni adeguato (regole, funzioni, strutture, risorse, mappatura processi,
procedure e controlli);
• Sistema informativo aziendale adeguato a supportare efficacemente l’operatività
aziendale e garantisca la qualità/ sicurezza dei dati e la continuità operativa;
• Specifici Programmi di Formazione (esempio: Antiriciclaggio).
Per garantire la costituzione e tenuta del sistema organizzativo aziendale, si rendono pertanto opportuni interventi di
implementazione e manutenzione periodici a livello organizzativo.
- Organo con funzione di supervisione strategica;
- Organo con funzione di direzione;
- Organo con funzione di controllo.
Firenze, 28 Febbraio 2013 Pagina 9
Sistema dei Controlli Interni
SISTEMA DEI CONTROLLI
INTERNI
Circ. Banca d’Italia n.216
Disp. attuaz. al D.Lgs. 141
Analogamente agli Assetti Organizzativi, il Sistema dei Controlli Interni per i Confidi attualmente iscritti nell’Elenco
Speciale è disciplinato dalla Circolare di Banca d’Italia n. 216 “Istruzioni di Vigilanza per gli Intermediari
Finanziari iscritti nell’Elenco Speciale”.
E’ necessario e opportuno inoltre considerare le “Disposizioni di attuazione al D.Lgs. 141”, tenuto conto della loro
ormai prossima emissione da parte dell’Autorità di Vigilanza. Tale fonte normativa, che andrà a sostituire la Circolare
216, detta dei requisiti organizzativi più stringenti.
Firenze, 28 Febbraio 2013 Pagina 10
Sistema dei Controlli Interni
Circ. Banca d’Italia n.216• Il sistema dei controlli interni è costituito dall’insieme di regole, procedure e
strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali
e il conseguimento dell’efficacia ed efficienza dei processi aziendali, della salvaguardia
del valore delle attività e protezione dalle perdite, dell’affidabilità e integrità delle
informazioni contabili e gestionali, della conformità delle operazioni con la legge, la
normativa di vigilanza, le disposizioni interne dell’intermediario.
Disposizioni di attuazione
al D.Lgs. 141
• Il sistema dei controlli interni è costituito dall’insieme di regole, funzioni, strutture,
risorse, processi e procedure volti ad assicurare, nel rispetto della sana e prudente
gestione, il conseguimento delle seguenti finalità:
• verifica dell’attuazione delle strategie e delle politiche aziendali;
• salvaguardia del valore delle attività e protezione dalle perdite;
• efficacia ed efficienza dei processi aziendali;
• affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;
• prevenzione del rischio che l’intermediario sia coinvolto, anche involontariamente, in
attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura
ed il finanziamento al terrorismo);
• conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le
politiche, i regolamenti e le procedure interne
Firenze, 28 Febbraio 2013 Pagina 11
Sistema dei Controlli Interni
Il Sistema dei Controlli Interni deve essere strutturato, tenendo conto del principio di proporzionalità, secondo il
seguente schema:
Controlli 3 Livello
Controlli 2 Livello
Controlli 1 Livello
Controlli sulla gestione dei rischi (risk management,
compliance) che hanno l’obiettivo di verificare:
- Il rispetto dei limiti operativi assegnati alle varie funzioni;
- La coerenza dell’operatività delle singole aree produttive con gli
obiettivi di rischio-rendimento assegnati;
- La conformità alle norme dell’operatività aziendale.
Le funzioni preposte a tali controlli sono distinte da quelle
produttive; esse concorrono alla definizione delle politiche di
governo dei rischi e del processo di gestione dei rischi.
Revisione Interna (internal audit): in tale ambito rientra la
valutazione periodica della completezza, funzionalità e adeguatezza
del sistema dei controlli interni, inclusi quelli sul sistema
informativo (EDP audit) , con cadenza prefissata in relazione alla
natura e all’intensità dei rischi. L’attività è condotta da funzioni
diverse e indipendenti da quelle produttive, anche attraverso
verifiche in loco.
Controlli di Linea: diretti ad assicurare il corretto svolgimento
delle operazioni connesse con l’attività di concessione di
finanziamenti e le altre attività esercitate. Essi sono effettuati dalle
stesse strutture operative (es. controlli di tipo gerarchico,
sistematici e e a campione), incorporati nelle procedure (anche
automatizzate) ovvero eseguiti nell’ambito dell’attività di back
office.
Firenze, 28 Febbraio 2013 Pagina 12
Sistema dei Controlli Interni
I Confidi devono istituire le funzioni di controllo (Internal Audit, Risk Management, Compliance) assicurandone
l’indipendenza dalle funzioni operative. Nello specifico:
Indipendenza
• Tali funzioni dispongono dell’autorità, delle risorse e delle competenze necessarie per lo
svolgimento dei loro compiti;
• I responsabili non sono gerarchicamente subordinati ai responsabili delle funzioni
sottoposte a controllo e sono nominati dall’organo con funzione di gestione, d’accordo con
l’organo con funzione di supervisione strategica, sentito l’organo con funzione di controllo. Essi
riferiscono direttamente agli organi aziendali;
• coloro che partecipano alle funzioni aziendali di controllo non partecipano
direttamente alla prestazione delle attività che essi sono chiamati a controllare (…);
• le funzioni aziendali di controllo sono tra loro separate sotto un profilo
organizzativo (…);
• il metodo per la determinazione della remunerazione di coloro che partecipano alle
funzioni aziendali di controllo non deve comprometterne l’obiettività.
Le funzioni aziendali di controllo presentano agli organi aziendali, almeno 1 volta all’anno, relazioni sull’attività
svolta e forniscono agli stessi organi consulenza per i profili che attengono ai compiti di controllo svolti.
Firenze, 28 Febbraio 2013 Pagina 13
Sistema dei Controlli Interni
Ai fini dell’effettuazione di adeguati controlli sull’operatività, è necessaria la formalizzazione dei processi aziendali. Nel
dettaglio questi possono classificarsi come illustrato:
Processi di
Business
Processi di
Supporto
• sono i processi necessari per la gestione operativa dell’azienda. Predispongono le risorse, le infrastrutture, le
competenze e le conoscenze necessarie per i processi aziendali e possono essere previsti dalla normativa di
riferimento. Per quanto riguarda i processi disciplinati, ad esempio ricoprono particolare rilevanza i processi
di Segnalazioni di Vigilanza e disclosure: segnalazioni statistiche, segnalazioni prudenziali,
segnalazione LGD, Resoconto Icaap, Pillar 3.
Nello specifico il processo in oggetto è composto dai seguenti sottoprocessi:
Per la produzione delle Segnalazioni di Vigilanza la normativa prevede di effettuate opportune attività di
data quality, tese a garantire la correttezza delle segnalazione, e l’implementazione di strumenti di
reportistica (cruscotti di controllo).
• sono i processi core aziendali ed hanno un maggior impatto sui risultati di business dell'azienda. Ad
esempio, per i Confidi ricopre particolare rilevanza il processo creditizio di Concessione di Garanzie.
Nello specifico il processo in oggetto è composto dai seguenti sottoprocessi:
Delibera ReportingIstruttoria Monitoraggio Gestione deteriorati
attività di analisi
relative alle
richieste di
rilascio garanzie
attività di
approvazione
della
concessione
delle garanzie
attività di
monitoraggio e
controllo sulle
diverse garanzie
rilasciate
attività di
predisposizione
ed invio di
reporting
direzionale e di
controllo
attività di rilevazione e
gestione delle posizioni
deteriorate (rettifiche sulle
garanzie).
Firenze, 28 Febbraio 2013 Pagina 14
Risk Governance
Con riferimento alla Risk Governance, come già anticipato nelle slide precedenti, i Confidi devono costituire delle
apposite funzioni di controllo dei rischi, nello specifico la funzione di Risk Management e la funzione di Compliance, in
grado di gestire e governare i rischi aziendali. In dettaglio le funzioni in oggetto devono svolgere i seguenti compiti:
• collabora alla definizione delle politiche e del processo di gestione del rischio e delle
relative procedure e modalità di rilevazione e controllo;
• presiede al funzionamento del sistema di misurazione e controllo dei rischi e ne
verifica il rispetto da parte dell’intermediario; in tale contesto sviluppa e applica
indicatori in grado di evidenziare situazioni di anomalia e inefficacia dei sistemi di
misurazione e controllo dei rischi;
• monitora costantemente l’evoluzione dei rischi aziendali e il rispetto dei limiti operativi
all’assunzione delle varie tipologie di rischio;
• analizza i rischi dei nuovi prodotti e servizi e di quelli derivanti dall’ingresso in nuovi
segmenti operativi e di mercato;
• verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze
riscontrate nel sistema di controllo dei rischi.
Risk Management
La funzione di compliance, al fine di valutare l’adeguatezza delle procedure interne
rispetto all’obiettivo di prevenire la violazione di leggi, regolamenti e norme di
autoregolamentazione applicabili all’intermediario finanziario:
• identifica le norme applicabili all’intermediario finanziario e alle attività da esso prestate
e ne misura/valuta l’impatto sui processi e sulle procedure aziendali;
• propone modifiche organizzative e procedurali volte ad assicurare l’adeguato presidio
dei rischi di non conformità alle norme;
• predispone flussi informativi diretti agli organi aziendali e alle altre funzioni aziendali di
controllo;
• verifica l’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del
rischio di non conformità.
Compliance
Firenze, 28 Febbraio 2013 Pagina 15
Risk Governance
La funzione di conformità alle norme è coinvolta nella valutazione ex ante della
conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa
l’operatività in nuovi prodotti o servizi) che l’intermediario intenda intraprendere nonché
nella prevenzione e nella gestione dei conflitti di interesse anche con riferimento ai
dipendenti e agli esponenti aziendali. Altre aree di intervento della funzione di conformità
alle norme sono:
• la verifica della coerenza del sistema premiante aziendale (in particolare
retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme,
dello statuto nonché di eventuali codici etici o altri standard di condotta applicabili
all’intermediario;
• la consulenza e assistenza nei confronti degli organi aziendali dell’intermediario in
tutte le materie in cui assume rilievo il rischio di non conformità nonché la
collaborazione nell’attività di formazione del personale sulle disposizioni applicabili
alle attività svolte, al fine di diffondere una cultura aziendale improntata ai principi di
onestà, correttezza e rispetto dello spirito e della lettera delle norme.
Compliance
Firenze, 28 Febbraio 2013 Pagina 16
Conclusioni
• I Confidi di maggiori dimensioni, tenuti alla prossima implementazione degli assetti
organizzativi e di controllo illustrati nelle slides precedenti, svolgono in misura prevalente
l’attività di garanzia collettiva dei fidi e possono esercitare anche attività residuali (attività
riservate ad altri intermediari finanziari entro un limite pari al 20% del totale dell’attivo) e
attività connesse e strumentali (attività accessorie che consentono di sviluppare l'attività
esercitata);
• L’implementazione di assetti organizzativi, di controllo e della risk governance
conformi alla normativa di riferimento comporta dei costi di adeguamento, in termini
monetari e di impegno di risorse;
• L’ adeguamento normativo implica recuperi di efficienza ed efficacia nell’operatività
(assetti organizzativi) e nella gestione dei rischi (sistema dei controlli interni e risk
governance) che può riflettersi in miglioramenti nelle performance aziendali.
Firenze, 28 Febbraio 2013 Pagina 17
Contatti
Salvatore SpagnoloExecutive Director
FSO Advisory Services: Financial Services Risk ManagementTel. +39 335 6798808
E-mail: [email protected]
Per maggiori informazioni contattare: