Le nuove disposizioni di vigilanza in materia di SCI
Circolare 263/2006, 15° aggiornamento.
Le attività svolte dalla Banca Capasso Antonio S.p.A.
1
Le nuove disposizioni di vigilanza in materia di SCI
Le attività svolte da Banca Capasso Capasso Antonio S.p.A.
La Banca già dal 2011 ha avviato una complessiva azione di rafforzamento del sistema dei controlli interni.
L’emanazione dell’aggiornamento n. 15 del 2 luglio 2013 della Circolare 263/2006 rappresenta, pertanto,
l’occasione per un completo rafforzamento del sistema dei controlli interni e per colmare le eventuali aree di
debolezza.
Di seguito si riportano le principali attività già poste in essere dalla Banca:
Per la conduzione delle attività finalizzate allo svolgimento della Gap analysis e alla successiva redazione
della Relazione la Banca ha deciso di farsi supportare da una primaria società di consulenza al fine di poter
anche usufruire di un proficuo confronto con specialisti esterni alla Banca ed indipendenti. La descrizione
dell’approccio utilizzato proposto dal consulente e condiviso dalla Banca è descritto nelle slide seguenti.
Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio le
proprie valutazioni in ordine al livello di completezza, adeguatezza, funzionalità e affidabilità del sistema dei
controlli interni. In particolare:
Con riferimento alle funzioni di controllo di secondo livello, istituite internamente, sono state svolte a
febbraio 2013 le verifiche di indipendenza, autorevolezza e professionalità adeguate rispetto al ruolo
ricoperto. Inoltre, la separatezza delle funzioni, la distinzioni dei relativi ruoli e responsabilità e le
corrette modalità di riporto verso gli organi aziendali sono garantiti dalla formalizzazione nei
regolamenti delle Funzioni di principi organizzativi prevalentemente adeguati
Con riferimento alla funzione di controllo di terzo livello la banca ha ritenuto di esternalizzare la
funzione ad una primaria società, stante anche le dimensioni e la complessità operativa della Banca, le
cui competenze e professionalità sono in grado di garantire anche attività di assurance specialistiche
Con riferimento al dimensionamento quali-quantitativo delle funzioni di controllo, la Banca procederà
ad affinare la metodologia di pianificazione di interventi mirati alla formazione delle risorse, in
particolare di quelle che ricoprono un ruolo chiave nell’ambito del sistema dei controlli interni.
2
Le finalità dell’autovalutazione della situazione aziendale
1
2
Autovalutazione
Relazione di
(gap analysis)
Autovalutazione
3
Azioni di miglioramento
Obiettivi
Identificare i punti
di forza
Pianificare le azioni
di miglioramento
Individuare le aree
di debolezza
3
Strutturare le basi
per monitorare gli
interventi di
miglioramento
L’autovalutazione selettiva
LA SCELTA DELL’APPROCCIO
AUTOVALUTAZIONE
DIFFUSA
AUTOVALUTAZIONE
SELETTIVA
Coinvolgimento di tutta la struttura con la
partecipazione del maggior numero di
risorse
•
•
•
Coinvolgimento di un singolo segmento del
personale (ad es Responsabili di Area…)
Consente
una
diagnosi
completa dell’organizzazione
Promuove la partecipazione di
tutto il personale
Richiede
un
significativo
impegno in termini di tempo e
risorse
•
•
4
Il processo può essere svolto
in tempi brevi e con risorse
limitate
Offre una visione selettiva
delle forze e delle debolezze
dell’organizzazione
Gli strumenti per l’individuazione dei gap
Sessione di brainstorming con
gli Organi Aziendali/Funzione
Rilevazione della
situazione as is – gli
strumenti
Analisi documentale
Gli step della
Gap Analysis
Colloqui/interviste con i singoli
attori coinvolti nel processo
5
Somministrazione di
questionari per consentire agli
Organi/Funzioni di esprimere le
proprie valutazioni,
individualmente e/o
collegialmente
Gli strumenti per l’individuazione dei gap
Rilevazione della situazione As Is – il perimetro di intervento
Ruoli, compiti e
responsabilità degli
Organi Aziendali
Ruoli, compiti e
responsabilità dei
Responsabili delle
Funzioni di controllo
Misure in materia di
governo ed
organizzazione del
Sistema Informativo
aziendale
AUTOVALUTAZIONE
6
Requisiti in materia
di Continuità
Operativa
Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione
I Questionari
La fase di costruzione del questionario rappresenta un momento particolarmente
delicato nel corso della pianificazione dell’Autovalutazione.
Tale strumento è disegnato e progettato in modo da indurre gli Organi e le Funzioni a rilevare la reale situazione
aziendale in termini di:
-
rispondenza alla norma con riferimento sia agli aspetti formali (policy, procedure, etc.) sia agli aspetti sostanziali
(presidi in essere);
-
presenza di documenti aziendali comprovanti le risposte date;
-
autovalutazione degli interventi correttivi da porre in essere, con evidenza delle relative tempistiche e degli owner;
-
valutazione del grado di aderenza alla norma (utilizzando, ad esempio, una scala da 1 a 6, ovvero da 1 a 5).
Per garantire omogeneità di giudizio tra i vari attori coinvolti nel processo, il questionario è stato somministrato
attraverso un’intervista guidata face to face. (cfr slide successiva)
7
Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione
I Questionari
8
Gli strumenti per l’individuazione dei gap: le interviste
Intervista face to face
Il Team incaricato della valutazione ha predisposto un questionario da sottoporre ai soggetti intervistati;
L’obiettivo delle interviste è stato quello di raccogliere i giudizi sui punti di forza e sui punti di debolezza in relazione
agli obiettivi dell’organizzazione;
L’intervista ha consentito di rilevare la sensibilità su determinati argomenti e di indirizzare e sollecitare gli
approfondimenti;
Nel corso delle interviste sono stati altresì evidenziati i documenti utilizzati (volti a confortare il giudizio di
autovalutazione).
9
Gli strumenti per l’individuazione dei gap: La pianificazione di interventi di
miglioramento e la relativa scansione temporale
Come saranno tradotti i risultati dell’autovalutazione in
azione e predisporre il piano degli interventi
Affrontare la lista dei punti di forza e di debolezza rendendoli il più possibile gestibili e comprensibili da tutta la
struttura;
Individuare criteri per definire la scala di priorità dei punti di forza e di debolezza;
Prevedere una revisione del business plan, del piano industriale, nonché la documentazione relativa alla strategia
dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi;
Attivare con successo il piano di azione gestendo tutti gli interventi individuati in forma di progetto, facendo si che
tali progetti siano parte integrante delle normali attività aziendali;
Dare continuità all’attività prevedendo il coinvolgimento delle persone incaricate dell’autovalutazione nella
pianificazione aziendale degli interventi di miglioramento conseguenti all’autovalutazione.
10
La ricognizione complessiva della situazione aziendale: la matrice
organo/funzione/processo/procedure/attività/rischi
La ricognizione finale
Al termine della fase di autovalutazione, e prima della stesura della Relazione, sarà effettuata una ricognizioni dei dati e delle
informazioni raccolte. Tale ricognizione può essere effettuata mediante la predisposizione di una matrice.
La matrice deve contenere indicazione degli organi, delle funzioni e dei soggetti (es. outsourcer) espressamente richiamati
dalle Disposizioni di Vigilanza (Circolare Banca d'Italia n. 263/2006) o dal Provvedimento di Banca d'Italia del 10 marzo 2011
(con specifico riferimento a quanto previsto per la Funzione Antiriciclaggio).
NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i
processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di
linea governati dalle funzioni operative e di supporto.
11
La predisposizione della relazione da inviare a Banca d’Italia
Attività di Autovalutazione
Relazione di Autovalutazione
La Relazione di Autovalutazione conterrà:
la descrizione delle metodologie (approcci, strumenti, fonti di dati) utilizzate nella conduzione del
processo di autovalutazione, dei profili oggetto di analisi;
la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento);
le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle
cennate disposizioni.
informazioni coerenti con il piano strategico, il progetto di governo societario, l’autovalutazione
periodica sulla funzionalità del CdA (c.d. board evaluation), con il processo ICAAP, con la relazione
predisposta ai fini dell’art. 2381, comma 3, c.c. e con la Relazione Congiunta Banca d’Italia Consob.
12
Time table 2
DEAD LINE - GAP ANALYSIS
Ottobre
2013
Novembre
2013
Dicembre 2013
Illustrazione al CDA
Presentazione dei
Condivisione della
dell’impostazione del
lavori alle Funzioni
Bozza di Relazione e
progetto.
coinvolte nel progetto
del piano di attività e
Prima illustrazione dei
(SCI e IT)
conseguente
lavori alle Funzioni
Presentazione della
presentazione dei
coinvolte nel progetto
prima bozza di GAP
documenti definitivi al
(SCI e IT)
Analysis al CDA
CDA e al
Collegio Sindacale
13
31/12/2013
Le nuove disposizioni di vigilanza in materia di SCI
Esternalizzazioni
Con riferimento ai contratti di esternalizzazione, la Banca ha proceduto a contattare i propri
outsourcer al fine di concordare le tempistiche di adeguamento dei contratti.
Su tale punto si precisa che:
Con riferimento al contratto con l’Outsourcer informatico, comprensivo del Business
Continuity and Recovery Services, l’Amministratore Delegato ha richiesto a ottobre 2013
al Rappresentante Legale della società le tempistiche per la redazione del contratto
aggiornato alle nuove disposizioni di vigilanza in considerazione della scadenza dello
stesso prevista per il 31.12.2013. L’Outsourcer ha risposto, tuttavia, che il contratto
prevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dalla
scadenza, pertanto lo stesso verrà aggiornato nel corso del 2014 con decorrenza per
l’esercizio 2015
Con riferimento alla Funzione di Revisione Interna, in occasione dell’autodiagnosi svolta
in collaborazione con la Banca, il responsabile della Funzione di Revisione Interna ha
condiviso con l’Amministratore Delegato i principali aspetti di adeguamento del
contratto di esternalizzazione necessari a rispettare le nuove disposizioni di vigilanza.
Sul punto si precisa che la scadenza del contratto è prevista per l’esercizio 2015, tuttavia
la Funzione di Revisione Interna procederà ad inviare un documento «Modifiche» con le
integrazioni necessarie derivanti dalle disposizioni normative al fine di renderle
operative già a partire dall’esercizio 2014
14
Le nuove disposizioni di vigilanza in materia di SCI
Sistema Informativo
Per quanto attiene all’ambito ICT si rileva preliminarmente che:
• la normativa prevede che le Banche si dotino di una funzione ICT,
• come già specificato, la Banca opera in regime di Full Outsourcing
La Banca, già a partire dal 2010, ha individuato internamente il Responsabile dell’Area
Organizzazione che:
ha ruolo di responsabile della funzione ICT interna alla Banca e ogni anno predispone per il
CdA una Relazione sullo stato dei Sistemi Informativi, sulla Rete LAN interna e sulla
procedura di Disaster Recovery adottata;
svolge attività di controllo e raccordo con il Centro Servizi, quali la pianificazione dei
progetti informatici e il raccordo con le linee di Business della Banca.
ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, in
collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di
raccordo con le linee di business della Banca.
La Relazione ha l’obiettivo di evidenziare al CdA le carenze del sistema informatico riscontrate
nell’anno e le soluzioni eventualmente già adottate per la risoluzione delle problematiche
emerse. Inoltre, riporta il piano degli interventi programmati per l’anno successivo e
l’aggiornamento dello stato di avanzamento di implementazione.
L’Outsourcer invierà alla Banca l’esito dell’autodiagnosi condotta in autonomia sul sistema
informativo. Tale autodiagnosi sarà rivista dalla Banca, con il supporto del consulente, al fine
di rilevare e acquisire i gap e il piano di intervento dell’Outsourcer. Inoltre, la Banca ha svolto
l’autodiagnosi anche in autonomia con il Responsabile dell’Area Organizzazione in linea con
quanto già svolto nel corso degli ultimi anni che integrerà l’autodiagnosi dell’Outsourcer.
15
Le nuove disposizioni di vigilanza in materia di SCI
Continuità Operativa
Con riferimento al piano di continuità operativa si rileva che la Banca ha adottato, con la
collaborazione dell’Outsourcer informatico, il Piano di Continuità operativa già da diversi anni.
Lo stesso è sottoposto a revisione annuale al fine di tenere in considerazione sia le variazioni di
business della Banca che le eventuali modifiche normative aventi rilevanza in tale ambito (nel
2011 la Banca ha effettuato una revisione straordinaria dell’Analisi di Impatto necessaria per
adeguare alcuni processi alla direttiva europea PSD- Payment Services Directive).
16