le nuove disposizioni di vigilanza in materia di sci ... · affrontare la lista dei punti di forza...
TRANSCRIPT
Le nuove disposizioni di vigilanza in materia di SCI Circolare 263/2006, 15°°°° aggiornamento.
Le attività svolte dalla Banca Capasso Antonio S.p.A. . . .
1
Le nuove disposizioni di vigilanza in materia di SCILe attività svolte daLe attività svolte daLe attività svolte daLe attività svolte da Banca Capasso Banca Capasso Banca Capasso Banca Capasso CapassoCapassoCapassoCapasso Antonio S.p.A.Antonio S.p.A.Antonio S.p.A.Antonio S.p.A.
La Banca già dal 2011 ha avviato una complessiva azione di rafforzamento del sistema dei controlli interni.L’emanazione dell’aggiornamento n. 15 del 2 luglio 2013 della Circolare 263/2006 rappresenta, pertanto,l’occasione per un completo rafforzamento del sistema dei controlli interni e per colmare le eventuali aree didebolezza.
Di seguito si riportano le principali attività già poste in essere dalla Banca:
� Per la conduzione delle attività finalizzate allo svolgimento della Gap analysis e alla successiva redazionedella Relazione la Banca ha deciso di farsi supportare da una primaria società di consulenza al fine di poteranche usufruire di un proficuo confronto con specialisti esterni alla Banca ed indipendenti. La descrizionedell’approccio utilizzato proposto dal consulente e condiviso dalla Banca è descritto nelle slide seguenti.
� Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio le� Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio leproprie valutazioni in ordine al livello di completezza, adeguatezza, funzionalità e affidabilità del sistema deicontrolli interni. In particolare:
� Con riferimento alle funzioni di controllo di secondo livello, istituite internamente, sono state svolte afebbraio 2013 le verifiche di indipendenza, autorevolezza e professionalità adeguate rispetto al ruoloricoperto. Inoltre, la separatezza delle funzioni, la distinzioni dei relativi ruoli e responsabilità e lecorrette modalità di riporto verso gli organi aziendali sono garantiti dalla formalizzazione neiregolamenti delle Funzioni di principi organizzativi prevalentemente adeguati
� Con riferimento alla funzione di controllo di terzo livello la banca ha ritenuto di esternalizzare lafunzione ad una primaria società, stante anche le dimensioni e la complessità operativa della Banca, lecui competenze e professionalità sono in grado di garantire anche attività di assurance specialistiche
� Con riferimento al dimensionamento quali-quantitativo delle funzioni di controllo, la Banca procederàad affinare la metodologia di pianificazione di interventi mirati alla formazione delle risorse, inparticolare di quelle che ricoprono un ruolo chiave nell’ambito del sistema dei controlli interni.
2
Le finalità dell’autovalutazione della situazione aziendale
Autovalutazione
(gap analysis)
Relazione di
AutovalutazioneAzioni di miglioramento
1 2 3
3
Obiettivi
Identificare i punti di forza
Individuare le aree di debolezza
Pianificare le azioni di miglioramento
Strutturare le basi per monitorare gli
interventi di miglioramento
L’autovalutazione selettiva
AUTOVALUTAZIONE DIFFUSA
LA SCELTA DELL’APPROCCIO
AUTOVALUTAZIONE SELETTIVA
Coinvolgimento di tutta la struttura con la Coinvolgimento di un singolo segmento del
4
Coinvolgimento di tutta la struttura con la partecipazione del maggior numero di
risorse
Coinvolgimento di un singolo segmento del personale (ad es Responsabili di Area…)
• Consente una diagnosicompleta dell’organizzazione
• Promuove la partecipazione ditutto il personale
• Richiede un significativoimpegno in termini di tempo erisorse
• Consente una diagnosicompleta dell’organizzazione
• Promuove la partecipazione ditutto il personale
• Richiede un significativoimpegno in termini di tempo erisorse
• Il processo può essere svoltoin tempi brevi e con risorselimitate
• Offre una visione selettivadelle forze e delle debolezzedell’organizzazione
• Il processo può essere svoltoin tempi brevi e con risorselimitate
• Offre una visione selettivadelle forze e delle debolezzedell’organizzazione
Gli strumenti per l’individuazione dei gap
Analisi documentaleSessione di brainstorming con gli Organi Aziendali/Funzione
Gli step della Gap Analysis
Ril
evazio
ne d
ell
a
as
is–
gli
str
um
en
ti
Ril
evazio
ne d
ell
a
as
is–
gli
str
um
en
ti
Colloqui/interviste con i singoli attori coinvolti nel processo
Somministrazione di questionari per consentire agli Organi/Funzioni di esprimere le
proprie valutazioni, individualmente e/o
collegialmente
Gap Analysis
5
Ril
evazio
ne d
ell
a
sit
uazio
ne a
sstr
um
en
ti
Ril
evazio
ne d
ell
a
sit
uazio
ne a
sstr
um
en
ti
Gli strumenti per l’individuazione dei gap
Rilevazione della situazione As Is – il perimetro di intervento
Ruoli, compiti e responsabilità degli
Organi Aziendali
Ruoli, compiti e responsabilità dei Responsabili delle
Funzioni di controllo
Misure in materia di governo ed
organizzazione del Sistema Informativo
aziendale
Requisiti in materia di Continuità
Operativa
6
AUTOVALUTAZIONE
Funzioni di controllo aziendale
Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione
La fase di costruzione del questionario rappresenta un momento particolarmente
delicato nel corso della pianificazione dell’Autovalutazione.
Tale strumento è disegnato e progettato in modo da indurre gli Organi e le Funzioni a rilevare la reale situazione
aziendale in termini di:
I Questionari
- rispondenza alla norma con riferimento sia agli aspetti formali (policy, procedure, etc.) sia agli aspetti sostanziali
(presidi in essere);
- presenza di documenti aziendali comprovanti le risposte date;
- autovalutazione degli interventi correttivi da porre in essere, con evidenza delle relative tempistiche e degli owner;
- valutazione del grado di aderenza alla norma (utilizzando, ad esempio, una scala da 1 a 6, ovvero da 1 a 5).
Per garantire omogeneità di giudizio tra i vari attori coinvolti nel processo, il questionario è stato somministrato
attraverso un’intervista guidata face to face. (cfr slide successiva)
7
Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione
I Questionari
8
Gli strumenti per l’individuazione dei gap: le interviste
� Il Team incaricato della valutazione ha predisposto un questionario da sottoporre ai soggetti intervistati;
� L’obiettivo delle interviste è stato quello di raccogliere i giudizi sui punti di forza e sui punti di debolezza in relazione
agli obiettivi dell’organizzazione;
� L’intervista ha consentito di rilevare la sensibilità su determinati argomenti e di indirizzare e sollecitare gli
approfondimenti;
Intervista face to face
approfondimenti;
� Nel corso delle interviste sono stati altresì evidenziati i documenti utilizzati (volti a confortare il giudizio di
autovalutazione).
9
� Affrontare la lista dei punti di forza e di debolezza rendendoli il più possibile gestibili e comprensibili da tutta la
struttura;
� Individuare criteri per definire la scala di priorità dei punti di forza e di debolezza;
� Prevedere una revisione del business plan, del piano industriale, nonché la documentazione relativa alla strategia
dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi;
Come saranno tradotti i risultati dell’autovalutazione in azione e predisporre il piano degli interventi
Gli strumenti per l’individuazione dei gap: La pianificazione di interventi di miglioramento e la relativa scansione temporale
dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi;
� Attivare con successo il piano di azione gestendo tutti gli interventi individuati in forma di progetto, facendo si che
tali progetti siano parte integrante delle normali attività aziendali;
� Dare continuità all’attività prevedendo il coinvolgimento delle persone incaricate dell’autovalutazione nella
pianificazione aziendale degli interventi di miglioramento conseguenti all’autovalutazione.
10
La ricognizione complessiva della situazione aziendale: la matrice organo/funzione/processo/procedure/attività/rischi
La ricognizione finale
Al termine della fase di autovalutazione, e prima della stesura della Relazione, sarà effettuata una ricognizioni dei dati e delle
informazioni raccolte. Tale ricognizione può essere effettuata mediante la predisposizione di una matrice.
La matrice deve contenere indicazione degli organi, delle funzioni e dei soggetti (es. outsourcer) espressamente richiamati
dalle Disposizioni di Vigilanza (Circolare Banca d'Italia n. 263/2006) o dal Provvedimento di Banca d'Italia del 10 marzo 2011
(con specifico riferimento a quanto previsto per la Funzione Antiriciclaggio).
11
NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i
processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di
linea governati dalle funzioni operative e di supporto.
NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i
processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di
linea governati dalle funzioni operative e di supporto.
La predisposizione della relazione da inviare a Banca d’Italia
La Relazione di Autovalutazione conterrà:
� la descrizione delle metodologie (approcci, strumenti, fonti di dati) utilizzate nella conduzione del
processo di autovalutazione, dei profili oggetto di analisi;
� la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento);
Attività di Autovalutazione Relazione di Autovalutazione
� la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento);
� le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle
cennate disposizioni.
� informazioni coerenti con il piano strategico, il progetto di governo societario, l’autovalutazione
periodica sulla funzionalità del CdA (c.d. board evaluation), con il processo ICAAP, con la relazione
predisposta ai fini dell’art. 2381, comma 3, c.c. e con la Relazione Congiunta Banca d’Italia -
Consob.
12
DEAD LINE - GAP ANALYSIS
Illustrazione al CDA
dell’impostazione del
Presentazione dei
lavori alle Funzioni
Condivisione della
Bozza di Relazione e
Time table 2
Ottobre2013
Novembre 2013
Dicembre 2013
13
progetto.
Prima illustrazione dei
lavori alle Funzioni
coinvolte nel progetto
(SCI e IT)
coinvolte nel progetto
(SCI e IT)
Presentazione della
prima bozza di GAP
Analysis al CDA
del piano di attività e
conseguente
presentazione dei
documenti definitivi al
CDA e al
Collegio Sindacale
31/12/2013
Le nuove disposizioni di vigilanza in materia di SCIEsternalizzazioniEsternalizzazioniEsternalizzazioniEsternalizzazioni
Con riferimento ai contratti di esternalizzazione, la Banca ha proceduto a contattare i proprioutsourcer al fine di concordare le tempistiche di adeguamento dei contratti.
Su tale punto si precisa che:
� Con riferimento al contratto con l’Outsourcer informatico, comprensivo del BusinessContinuity and Recovery Services, l’Amministratore Delegato ha richiesto a ottobre 2013al Rappresentante Legale della società le tempistiche per la redazione del contrattoaggiornato alle nuove disposizioni di vigilanza in considerazione della scadenza dellostesso prevista per il 31.12.2013. L’Outsourcer ha risposto, tuttavia, che il contrattoprevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dallaprevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dallascadenza, pertanto lo stesso verrà aggiornato nel corso del 2014 con decorrenza perl’esercizio 2015
� Con riferimento alla Funzione di Revisione Interna, in occasione dell’autodiagnosi svoltain collaborazione con la Banca, il responsabile della Funzione di Revisione Interna hacondiviso con l’Amministratore Delegato i principali aspetti di adeguamento delcontratto di esternalizzazione necessari a rispettare le nuove disposizioni di vigilanza.Sul punto si precisa che la scadenza del contratto è prevista per l’esercizio 2015, tuttaviala Funzione di Revisione Interna procederà ad inviare un documento «Modifiche» con leintegrazioni necessarie derivanti dalle disposizioni normative al fine di renderleoperative già a partire dall’esercizio 2014
14
Le nuove disposizioni di vigilanza in materia di SCISistema InformativoSistema InformativoSistema InformativoSistema Informativo
Per quanto attiene all’ambito ICT si rileva preliminarmente che:• la normativa prevede che le Banche si dotino di una funzione ICT,• come già specificato, la Banca opera in regime di Full Outsourcing
La Banca, già a partire dal 2010, ha individuato internamente il Responsabile dell’AreaOrganizzazione che:� ha ruolo di responsabile della funzione ICT interna alla Banca e ogni anno predispone per il
CdA una Relazione sullo stato dei Sistemi Informativi, sulla Rete LAN interna e sullaprocedura di Disaster Recovery adottata;
� svolge attività di controllo e raccordo con il Centro Servizi, quali la pianificazione deiprogetti informatici e il raccordo con le linee di Business della Banca.
� ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, in� ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, incollaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi diraccordo con le linee di business della Banca.
La Relazione ha l’obiettivo di evidenziare al CdA le carenze del sistema informatico riscontratenell’anno e le soluzioni eventualmente già adottate per la risoluzione delle problematicheemerse. Inoltre, riporta il piano degli interventi programmati per l’anno successivo el’aggiornamento dello stato di avanzamento di implementazione.
L’Outsourcer invierà alla Banca l’esito dell’autodiagnosi condotta in autonomia sul sistemainformativo. Tale autodiagnosi sarà rivista dalla Banca, con il supporto del consulente, al finedi rilevare e acquisire i gap e il piano di intervento dell’Outsourcer. Inoltre, la Banca ha svoltol’autodiagnosi anche in autonomia con il Responsabile dell’Area Organizzazione in linea conquanto già svolto nel corso degli ultimi anni che integrerà l’autodiagnosi dell’Outsourcer.
15
Le nuove disposizioni di vigilanza in materia di SCI
Continuità OperativaContinuità OperativaContinuità OperativaContinuità Operativa
Con riferimento al piano di continuità operativa si rileva che la Banca ha adottato, con lacollaborazione dell’Outsourcer informatico, il Piano di Continuità operativa già da diversi anni.
Lo stesso è sottoposto a revisione annuale al fine di tenere in considerazione sia le variazioni dibusiness della Banca che le eventuali modifiche normative aventi rilevanza in tale ambito (nel2011 la Banca ha effettuato una revisione straordinaria dell’Analisi di Impatto necessaria peradeguare alcuni processi alla direttiva europea PSD- Payment Services Directive).
16