Le nuove disposizioni di vigilanza in materia di SCI Circolare 263/2006, 15° aggiornamento. Le attività svolte dalla Banca Capasso Antonio S.p.A. 1 Le nuove disposizioni di vigilanza in materia di SCI Le attività svolte da Banca Capasso Capasso Antonio S.p.A. La Banca già dal 2011 ha avviato una complessiva azione di rafforzamento del sistema dei controlli interni. L’emanazione dell’aggiornamento n. 15 del 2 luglio 2013 della Circolare 263/2006 rappresenta, pertanto, l’occasione per un completo rafforzamento del sistema dei controlli interni e per colmare le eventuali aree di debolezza. Di seguito si riportano le principali attività già poste in essere dalla Banca: Per la conduzione delle attività finalizzate allo svolgimento della Gap analysis e alla successiva redazione della Relazione la Banca ha deciso di farsi supportare da una primaria società di consulenza al fine di poter anche usufruire di un proficuo confronto con specialisti esterni alla Banca ed indipendenti. La descrizione dell’approccio utilizzato proposto dal consulente e condiviso dalla Banca è descritto nelle slide seguenti. Nella seduta consiliare del 30 ottobre 2013, l’Amministratore Delegato ha rappresentato al Consiglio le proprie valutazioni in ordine al livello di completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni. In particolare: Con riferimento alle funzioni di controllo di secondo livello, istituite internamente, sono state svolte a febbraio 2013 le verifiche di indipendenza, autorevolezza e professionalità adeguate rispetto al ruolo ricoperto. Inoltre, la separatezza delle funzioni, la distinzioni dei relativi ruoli e responsabilità e le corrette modalità di riporto verso gli organi aziendali sono garantiti dalla formalizzazione nei regolamenti delle Funzioni di principi organizzativi prevalentemente adeguati Con riferimento alla funzione di controllo di terzo livello la banca ha ritenuto di esternalizzare la funzione ad una primaria società, stante anche le dimensioni e la complessità operativa della Banca, le cui competenze e professionalità sono in grado di garantire anche attività di assurance specialistiche Con riferimento al dimensionamento quali-quantitativo delle funzioni di controllo, la Banca procederà ad affinare la metodologia di pianificazione di interventi mirati alla formazione delle risorse, in particolare di quelle che ricoprono un ruolo chiave nell’ambito del sistema dei controlli interni. 2 Le finalità dell’autovalutazione della situazione aziendale 1 2 Autovalutazione Relazione di (gap analysis) Autovalutazione 3 Azioni di miglioramento Obiettivi Identificare i punti di forza Pianificare le azioni di miglioramento Individuare le aree di debolezza 3 Strutturare le basi per monitorare gli interventi di miglioramento L’autovalutazione selettiva LA SCELTA DELL’APPROCCIO AUTOVALUTAZIONE DIFFUSA AUTOVALUTAZIONE SELETTIVA Coinvolgimento di tutta la struttura con la partecipazione del maggior numero di risorse • • • Coinvolgimento di un singolo segmento del personale (ad es Responsabili di Area…) Consente una diagnosi completa dell’organizzazione Promuove la partecipazione di tutto il personale Richiede un significativo impegno in termini di tempo e risorse • • 4 Il processo può essere svolto in tempi brevi e con risorse limitate Offre una visione selettiva delle forze e delle debolezze dell’organizzazione Gli strumenti per l’individuazione dei gap Sessione di brainstorming con gli Organi Aziendali/Funzione Rilevazione della situazione as is – gli strumenti Analisi documentale Gli step della Gap Analysis Colloqui/interviste con i singoli attori coinvolti nel processo 5 Somministrazione di questionari per consentire agli Organi/Funzioni di esprimere le proprie valutazioni, individualmente e/o collegialmente Gli strumenti per l’individuazione dei gap Rilevazione della situazione As Is – il perimetro di intervento Ruoli, compiti e responsabilità degli Organi Aziendali Ruoli, compiti e responsabilità dei Responsabili delle Funzioni di controllo Misure in materia di governo ed organizzazione del Sistema Informativo aziendale AUTOVALUTAZIONE 6 Requisiti in materia di Continuità Operativa Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione I Questionari La fase di costruzione del questionario rappresenta un momento particolarmente delicato nel corso della pianificazione dell’Autovalutazione. Tale strumento è disegnato e progettato in modo da indurre gli Organi e le Funzioni a rilevare la reale situazione aziendale in termini di: - rispondenza alla norma con riferimento sia agli aspetti formali (policy, procedure, etc.) sia agli aspetti sostanziali (presidi in essere); - presenza di documenti aziendali comprovanti le risposte date; - autovalutazione degli interventi correttivi da porre in essere, con evidenza delle relative tempistiche e degli owner; - valutazione del grado di aderenza alla norma (utilizzando, ad esempio, una scala da 1 a 6, ovvero da 1 a 5). Per garantire omogeneità di giudizio tra i vari attori coinvolti nel processo, il questionario è stato somministrato attraverso un’intervista guidata face to face. (cfr slide successiva) 7 Gli strumenti per l’individuazione dei gap: i questionari di autovalutazione I Questionari 8 Gli strumenti per l’individuazione dei gap: le interviste Intervista face to face Il Team incaricato della valutazione ha predisposto un questionario da sottoporre ai soggetti intervistati; L’obiettivo delle interviste è stato quello di raccogliere i giudizi sui punti di forza e sui punti di debolezza in relazione agli obiettivi dell’organizzazione; L’intervista ha consentito di rilevare la sensibilità su determinati argomenti e di indirizzare e sollecitare gli approfondimenti; Nel corso delle interviste sono stati altresì evidenziati i documenti utilizzati (volti a confortare il giudizio di autovalutazione). 9 Gli strumenti per l’individuazione dei gap: La pianificazione di interventi di miglioramento e la relativa scansione temporale Come saranno tradotti i risultati dell’autovalutazione in azione e predisporre il piano degli interventi Affrontare la lista dei punti di forza e di debolezza rendendoli il più possibile gestibili e comprensibili da tutta la struttura; Individuare criteri per definire la scala di priorità dei punti di forza e di debolezza; Prevedere una revisione del business plan, del piano industriale, nonché la documentazione relativa alla strategia dell’organizzazione in modo da rendere tali documenti coerenti con i risultati dell’analisi; Attivare con successo il piano di azione gestendo tutti gli interventi individuati in forma di progetto, facendo si che tali progetti siano parte integrante delle normali attività aziendali; Dare continuità all’attività prevedendo il coinvolgimento delle persone incaricate dell’autovalutazione nella pianificazione aziendale degli interventi di miglioramento conseguenti all’autovalutazione. 10 La ricognizione complessiva della situazione aziendale: la matrice organo/funzione/processo/procedure/attività/rischi La ricognizione finale Al termine della fase di autovalutazione, e prima della stesura della Relazione, sarà effettuata una ricognizioni dei dati e delle informazioni raccolte. Tale ricognizione può essere effettuata mediante la predisposizione di una matrice. La matrice deve contenere indicazione degli organi, delle funzioni e dei soggetti (es. outsourcer) espressamente richiamati dalle Disposizioni di Vigilanza (Circolare Banca d'Italia n. 263/2006) o dal Provvedimento di Banca d'Italia del 10 marzo 2011 (con specifico riferimento a quanto previsto per la Funzione Antiriciclaggio). NB: Al fine di estendere ulteriormente il perimetro dell'analisi (se necessario) potrebbero essere considerati i processi aziendali al fine di cogliere eventuali carenze/aree di miglioramento - rispetto ai rischi - dei presidi di linea governati dalle funzioni operative e di supporto. 11 La predisposizione della relazione da inviare a Banca d’Italia Attività di Autovalutazione Relazione di Autovalutazione La Relazione di Autovalutazione conterrà: la descrizione delle metodologie (approcci, strumenti, fonti di dati) utilizzate nella conduzione del processo di autovalutazione, dei profili oggetto di analisi; la descrizione dei risultati emersi (sintesi degli aspetti positivi e delle aree di miglioramento); le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle cennate disposizioni. informazioni coerenti con il piano strategico, il progetto di governo societario, l’autovalutazione periodica sulla funzionalità del CdA (c.d. board evaluation), con il processo ICAAP, con la relazione predisposta ai fini dell’art. 2381, comma 3, c.c. e con la Relazione Congiunta Banca d’Italia Consob. 12 Time table 2 DEAD LINE - GAP ANALYSIS Ottobre 2013 Novembre 2013 Dicembre 2013 Illustrazione al CDA Presentazione dei Condivisione della dell’impostazione del lavori alle Funzioni Bozza di Relazione e progetto. coinvolte nel progetto del piano di attività e Prima illustrazione dei (SCI e IT) conseguente lavori alle Funzioni Presentazione della presentazione dei coinvolte nel progetto prima bozza di GAP documenti definitivi al (SCI e IT) Analysis al CDA CDA e al Collegio Sindacale 13 31/12/2013 Le nuove disposizioni di vigilanza in materia di SCI Esternalizzazioni Con riferimento ai contratti di esternalizzazione, la Banca ha proceduto a contattare i propri outsourcer al fine di concordare le tempistiche di adeguamento dei contratti. Su tale punto si precisa che: Con riferimento al contratto con l’Outsourcer informatico, comprensivo del Business Continuity and Recovery Services, l’Amministratore Delegato ha richiesto a ottobre 2013 al Rappresentante Legale della società le tempistiche per la redazione del contratto aggiornato alle nuove disposizioni di vigilanza in considerazione della scadenza dello stesso prevista per il 31.12.2013. L’Outsourcer ha risposto, tuttavia, che il contratto prevede il rinnovo annuale tacito con preavviso di recesso entro sei mesi dalla scadenza, pertanto lo stesso verrà aggiornato nel corso del 2014 con decorrenza per l’esercizio 2015 Con riferimento alla Funzione di Revisione Interna, in occasione dell’autodiagnosi svolta in collaborazione con la Banca, il responsabile della Funzione di Revisione Interna ha condiviso con l’Amministratore Delegato i principali aspetti di adeguamento del contratto di esternalizzazione necessari a rispettare le nuove disposizioni di vigilanza. Sul punto si precisa che la scadenza del contratto è prevista per l’esercizio 2015, tuttavia la Funzione di Revisione Interna procederà ad inviare un documento «Modifiche» con le integrazioni necessarie derivanti dalle disposizioni normative al fine di renderle operative già a partire dall’esercizio 2014 14 Le nuove disposizioni di vigilanza in materia di SCI Sistema Informativo Per quanto attiene all’ambito ICT si rileva preliminarmente che: • la normativa prevede che le Banche si dotino di una funzione ICT, • come già specificato, la Banca opera in regime di Full Outsourcing La Banca, già a partire dal 2010, ha individuato internamente il Responsabile dell’Area Organizzazione che: ha ruolo di responsabile della funzione ICT interna alla Banca e ogni anno predispone per il CdA una Relazione sullo stato dei Sistemi Informativi, sulla Rete LAN interna e sulla procedura di Disaster Recovery adottata; svolge attività di controllo e raccordo con il Centro Servizi, quali la pianificazione dei progetti informatici e il raccordo con le linee di Business della Banca. ha la responsabilità̀ di seguire la pianificazione dei progetti informatici e garantire, in collaborazione con il fornitore di servizi, la realizzazione degli opportuni meccanismi di raccordo con le linee di business della Banca. La Relazione ha l’obiettivo di evidenziare al CdA le carenze del sistema informatico riscontrate nell’anno e le soluzioni eventualmente già adottate per la risoluzione delle problematiche emerse. Inoltre, riporta il piano degli interventi programmati per l’anno successivo e l’aggiornamento dello stato di avanzamento di implementazione. L’Outsourcer invierà alla Banca l’esito dell’autodiagnosi condotta in autonomia sul sistema informativo. Tale autodiagnosi sarà rivista dalla Banca, con il supporto del consulente, al fine di rilevare e acquisire i gap e il piano di intervento dell’Outsourcer. Inoltre, la Banca ha svolto l’autodiagnosi anche in autonomia con il Responsabile dell’Area Organizzazione in linea con quanto già svolto nel corso degli ultimi anni che integrerà l’autodiagnosi dell’Outsourcer. 15 Le nuove disposizioni di vigilanza in materia di SCI Continuità Operativa Con riferimento al piano di continuità operativa si rileva che la Banca ha adottato, con la collaborazione dell’Outsourcer informatico, il Piano di Continuità operativa già da diversi anni. Lo stesso è sottoposto a revisione annuale al fine di tenere in considerazione sia le variazioni di business della Banca che le eventuali modifiche normative aventi rilevanza in tale ambito (nel 2011 la Banca ha effettuato una revisione straordinaria dell’Analisi di Impatto necessaria per adeguare alcuni processi alla direttiva europea PSD- Payment Services Directive). 16