Le nuove disposizioni di vigilanza in materia di SCI Circolare 263/2006, 15°°°° aggiornamento.

Le attività svolte dalla Banca Capasso Antonio S.p.A. . . .

1

Le nuove disposizioni di vigilanza in materia di SCILe attività svolte daLe attività svolte daLe attività svolte daLe attività svolte da Banca Capasso Banca Capasso Banca Capasso Banca Capasso CapassoCapassoCapassoCapasso Antonio S.p.A.Antonio S.p.A.Antonio S.p.A.Antonio S.p.A.

La Banca già dal 2011 ha avviato una complessiva azione di rafforzamento del sistema dei controlli interni.L’emanazione dell’aggiornamento n. 15 del 2 luglio 2013 della Circolare 263/2006 rappresenta, pertanto,l’occasione per un completo rafforzamento del sistema dei controlli interni e per colmare le eventuali aree didebolezza.

Di seguito si riportano le principali attività già poste in essere dalla Banca:

� Per la conduzione delle attività finalizzate allo svolgimento della Gap analysis e alla successiva redazionedella Relazione la Banca ha deciso di farsi supportare da una primaria società di consulenza al fine di poteranche usufruire di un proficuo confronto con specialisti esterni alla Banca ed indipendenti. La descrizionedell’approccio utilizzato proposto dal consulente e condiviso dalla Banca è descritto nelle slide seguenti.

� Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio le� Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio leproprie valutazioni in ordine al livello di completezza, adeguatezza, funzionalità e affidabilità del sistema deicontrolli interni. In particolare:

� Con riferimento alle funzioni di controllo di secondo livello, istituite internamente, sono state svolte afebbraio 2013 le verifiche di indipendenza, autorevolezza e professionalità adeguate rispetto al ruoloricoperto. Inoltre, la separatezza delle funzioni, la distinzioni dei relativi ruoli e responsabilità e lecorrette modalità di riporto verso gli organi aziendali sono garantiti dalla formalizzazione neiregolamenti delle Funzioni di principi organizzativi prevalentemente adeguati

� Con riferimento alla funzione di controllo di terzo livello la banca ha ritenuto di esternalizzare lafunzione ad una primaria società, stante anche le dimensioni e la complessità operativa della Banca, lecui competenze e professionalità sono in grado di garantire anche attività di assurance specialistiche

� Con riferimento al dimensionamento quali-quantitativo delle funzioni di controllo, la Banca procederàad affinare la metodologia di pianificazione di interventi mirati alla formazione delle risorse, inparticolare di quelle che ricoprono un ruolo chiave nell’ambito del sistema dei controlli interni.

2

Le finalità dell’autovalutazione della situazione aziendale

Autovalutazione

(gap analysis)

Relazione di

AutovalutazioneAzioni di miglioramento

1 2 3

3

Obiettivi

Identificare i punti di forza

Individuare le aree di debolezza

Pianificare le azioni di miglioramento

Strutturare le basi per monitorare gli

interventi di miglioramento

L’autovalutazione selettiva

AUTOVALUTAZIONE DIFFUSA

LA SCELTA DELL’APPROCCIO

AUTOVALUTAZIONE SELETTIVA

Coinvolgimento di tutta la struttura con la Coinvolgimento di un singolo segmento del

4

Coinvolgimento di tutta la struttura con la partecipazione del maggior numero di

risorse

Coinvolgimento di un singolo segmento del personale (ad es Responsabili di Area…)

• Consente una diagnosicompleta dell’organizzazione

• Promuove la partecipazione ditutto il personale

• Richiede un significativoimpegno in termini di tempo erisorse

• Consente una diagnosicompleta dell’organizzazione

• Promuove la partecipazione ditutto il personale

• Richiede un significativoimpegno in termini di tempo erisorse

• Il processo può essere svoltoin tempi brevi e con risorselimitate

• Offre una visione selettivadelle forze e delle debolezzedell’organizzazione

• Il processo può essere svoltoin tempi brevi e con risorselimitate

• Offre una visione selettivadelle forze e delle debolezzedell’organizzazione

Gli strumenti per l’individuazione dei gap

Analisi documentaleSessione di brainstorming con gli Organi Aziendali/Funzione

Gli step della Gap Analysis

Ril

evazio

ne d

ell

a

as

is–

gli

str

um

en

ti

Ril

evazio

ne d

ell

a

as

is–

gli

str

um

en

ti

Colloqui/interviste con i singoli attori coinvolti nel processo

Somministrazione di questionari per consentire agli Organi/Funzioni di esprimere le

proprie valutazioni, individualmente e/o

collegialmente

Gap Analysis

5

Ril

evazio

ne d

ell

a

sit

uazio

ne a

sstr

um

en

ti

Ril

evazio

ne d

ell

a

sit

uazio

ne a

sstr

um

en

ti

Gli strumenti per l’individuazione dei gap

Rilevazione della situazione As Is – il perimetro di intervento

Ruoli, compiti e responsabilità degli

Organi Aziendali

Ruoli, compiti e responsabilità dei Responsabili delle

Funzioni di controllo

Misure in materia di governo ed

organizzazione del Sistema Informativo

aziendale

Requisiti in materia di Continuità

Operativa

6

AUTOVALUTAZIONE

Funzioni di controllo aziendale

Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione

La fase di costruzione del questionario rappresenta un momento particolarmente

delicato nel corso della pianificazione dell’Autovalutazione.

Tale strumento è disegnato e progettato in modo da indurre gli Organi e le Funzioni a rilevare la reale situazione

aziendale in termini di:

I Questionari

- rispondenza alla norma con riferimento sia agli aspetti formali (policy, procedure, etc.) sia agli aspetti sostanziali

(presidi in essere);

- presenza di documenti aziendali comprovanti le risposte date;

- autovalutazione degli interventi correttivi da porre in essere, con evidenza delle relative tempistiche e degli owner;

- valutazione del grado di aderenza alla norma (utilizzando, ad esempio, una scala da 1 a 6, ovvero da 1 a 5).

Per garantire omogeneità di giudizio tra i vari attori coinvolti nel processo, il questionario è stato somministrato

attraverso un’intervista guidata face to face. (cfr slide successiva)

7

Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione

I Questionari

8

Gli strumenti per l’individuazione dei gap: le interviste

� Il Team incaricato della valutazione ha predisposto un questionario da sottoporre ai soggetti intervistati;

� L’obiettivo delle interviste è stato quello di raccogliere i giudizi sui punti di forza e sui punti di debolezza in relazione

agli obiettivi dell’organizzazione;

� L’intervista ha consentito di rilevare la sensibilità su determinati argomenti e di indirizzare e sollecitare gli

approfondimenti;

Intervista face to face

approfondimenti;

� Nel corso delle interviste sono stati altresì evidenziati i documenti utilizzati (volti a confortare il giudizio di

autovalutazione).

9

� Affrontare la lista dei punti di forza e di debolezza rendendoli il più possibile gestibili e comprensibili da tutta la

struttura;

� Individuare criteri per definire la scala di priorità dei punti di forza e di debolezza;

� Prevedere una revisione del business plan, del piano industriale, nonché la documentazione relativa alla strategia

dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi;

Come saranno tradotti i risultati dell’autovalutazione in azione e predisporre il piano degli interventi

Gli strumenti per l’individuazione dei gap: La pianificazione di interventi di miglioramento e la relativa scansione temporale

dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi;

� Attivare con successo il piano di azione gestendo tutti gli interventi individuati in forma di progetto, facendo si che

tali progetti siano parte integrante delle normali attività aziendali;

� Dare continuità all’attività prevedendo il coinvolgimento delle persone incaricate dell’autovalutazione nella

pianificazione aziendale degli interventi di miglioramento conseguenti all’autovalutazione.

10

La ricognizione complessiva della situazione aziendale: la matrice organo/funzione/processo/procedure/attività/rischi

La ricognizione finale

Al termine della fase di autovalutazione, e prima della stesura della Relazione, sarà effettuata una ricognizioni dei dati e delle

informazioni raccolte. Tale ricognizione può essere effettuata mediante la predisposizione di una matrice.

La matrice deve contenere indicazione degli organi, delle funzioni e dei soggetti (es. outsourcer) espressamente richiamati

dalle Disposizioni di Vigilanza (Circolare Banca d'Italia n. 263/2006) o dal Provvedimento di Banca d'Italia del 10 marzo 2011

(con specifico riferimento a quanto previsto per la Funzione Antiriciclaggio).

11

NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i

processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di

linea governati dalle funzioni operative e di supporto.

NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i

processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di

linea governati dalle funzioni operative e di supporto.

La predisposizione della relazione da inviare a Banca d’Italia

La Relazione di Autovalutazione conterrà:

� la descrizione delle metodologie (approcci, strumenti, fonti di dati) utilizzate nella conduzione del

processo di autovalutazione, dei profili oggetto di analisi;

� la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento);

Attività di Autovalutazione Relazione di Autovalutazione

� la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento);

� le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle

cennate disposizioni.

� informazioni coerenti con il piano strategico, il progetto di governo societario, l’autovalutazione

periodica sulla funzionalità del CdA (c.d. board evaluation), con il processo ICAAP, con la relazione

predisposta ai fini dell’art. 2381, comma 3, c.c. e con la Relazione Congiunta Banca d’Italia -

Consob.

12

DEAD LINE - GAP ANALYSIS

Illustrazione al CDA

dell’impostazione del

Presentazione dei

lavori alle Funzioni

Condivisione della

Bozza di Relazione e

Time table 2

Ottobre2013

Novembre 2013

Dicembre 2013

13

progetto.

Prima illustrazione dei

lavori alle Funzioni

coinvolte nel progetto

(SCI e IT)

coinvolte nel progetto

(SCI e IT)

Presentazione della

prima bozza di GAP

Analysis al CDA

del piano di attività e

conseguente

presentazione dei

documenti definitivi al

CDA e al

Collegio Sindacale

31/12/2013

Le nuove disposizioni di vigilanza in materia di SCIEsternalizzazioniEsternalizzazioniEsternalizzazioniEsternalizzazioni

Con riferimento ai contratti di esternalizzazione, la Banca ha proceduto a contattare i proprioutsourcer al fine di concordare le tempistiche di adeguamento dei contratti.

Su tale punto si precisa che:

� Con riferimento al contratto con l’Outsourcer informatico, comprensivo del BusinessContinuity and Recovery Services, l’Amministratore Delegato ha richiesto a ottobre 2013al Rappresentante Legale della società le tempistiche per la redazione del contrattoaggiornato alle nuove disposizioni di vigilanza in considerazione della scadenza dellostesso prevista per il 31.12.2013. L’Outsourcer ha risposto, tuttavia, che il contrattoprevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dallaprevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dallascadenza, pertanto lo stesso verrà aggiornato nel corso del 2014 con decorrenza perl’esercizio 2015

� Con riferimento alla Funzione di Revisione Interna, in occasione dell’autodiagnosi svoltain collaborazione con la Banca, il responsabile della Funzione di Revisione Interna hacondiviso con l’Amministratore Delegato i principali aspetti di adeguamento delcontratto di esternalizzazione necessari a rispettare le nuove disposizioni di vigilanza.Sul punto si precisa che la scadenza del contratto è prevista per l’esercizio 2015, tuttaviala Funzione di Revisione Interna procederà ad inviare un documento «Modifiche» con leintegrazioni necessarie derivanti dalle disposizioni normative al fine di renderleoperative già a partire dall’esercizio 2014

14

Le nuove disposizioni di vigilanza in materia di SCISistema InformativoSistema InformativoSistema InformativoSistema Informativo

Per quanto attiene all’ambito ICT si rileva preliminarmente che:• la normativa prevede che le Banche si dotino di una funzione ICT,• come già specificato, la Banca opera in regime di Full Outsourcing

La Banca, già a partire dal 2010, ha individuato internamente il Responsabile dell’AreaOrganizzazione che:� ha ruolo di responsabile della funzione ICT interna alla Banca e ogni anno predispone per il

CdA una Relazione sullo stato dei Sistemi Informativi, sulla Rete LAN interna e sullaprocedura di Disaster Recovery adottata;

� svolge attività di controllo e raccordo con il Centro Servizi, quali la pianificazione deiprogetti informatici e il raccordo con le linee di Business della Banca.

� ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, in� ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, incollaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi diraccordo con le linee di business della Banca.

La Relazione ha l’obiettivo di evidenziare al CdA le carenze del sistema informatico riscontratenell’anno e le soluzioni eventualmente già adottate per la risoluzione delle problematicheemerse. Inoltre, riporta il piano degli interventi programmati per l’anno successivo el’aggiornamento dello stato di avanzamento di implementazione.

L’Outsourcer invierà alla Banca l’esito dell’autodiagnosi condotta in autonomia sul sistemainformativo. Tale autodiagnosi sarà rivista dalla Banca, con il supporto del consulente, al finedi rilevare e acquisire i gap e il piano di intervento dell’Outsourcer. Inoltre, la Banca ha svoltol’autodiagnosi anche in autonomia con il Responsabile dell’Area Organizzazione in linea conquanto già svolto nel corso degli ultimi anni che integrerà l’autodiagnosi dell’Outsourcer.

15

Le nuove disposizioni di vigilanza in materia di SCI

Continuità OperativaContinuità OperativaContinuità OperativaContinuità Operativa

Con riferimento al piano di continuità operativa si rileva che la Banca ha adottato, con lacollaborazione dell’Outsourcer informatico, il Piano di Continuità operativa già da diversi anni.

Lo stesso è sottoposto a revisione annuale al fine di tenere in considerazione sia le variazioni dibusiness della Banca che le eventuali modifiche normative aventi rilevanza in tale ambito (nel2011 la Banca ha effettuato una revisione straordinaria dell’Analisi di Impatto necessaria peradeguare alcuni processi alla direttiva europea PSD- Payment Services Directive).

16