confidi assetti organizzativi e risk governance · con riferimento alla risk governance, come già...

Assetti Organizzativi, di Controllo e

Risk Governance nei Confidi

Firenze, 28 Febbraio 2013

Firenze, 28 Febbraio 2013 Pagina 2

Indice

ß Introduzione

ß Assetti Organizzativi

ß Sistema dei Controlli Interni

ß Risk Governance

ß Conclusioni

ß Contatti


Tali aspetti sono strettamente correlati tra di loro, in quanto all’interno dei più generali assetti organizzativi

che un Confidi dovrebbe porre in essere, si innesta il sistema dei controlli interni, all’interno del quale la risk

governance ricopre un ruolo fondamentale.

Introduzione

Obiettivo della presentazione è illustrare gli Assetti Organizzativi, il Sistema dei Controlli Interni e la Risk

Governance nei Consorzi di Garanzia Collettiva dei Fidi di maggiori dimensioni.

RISK GOVERNANCE

ASSETTI

ORGANIZZATIVI

SISTEMA DEI CONTROLLI INTERNI


Assetti Organizzativi

Gli Assetti Organizzativi per i Confidi attualmente iscritti nell’Elenco Speciale sono disciplinati dalla Circolare di

Banca d’Italia n. 216 “Istruzioni di Vigilanza per gli Intermediari Finanziari iscritti nell’Elenco Speciale”.

E’ necessario e opportuno inoltre considerare le “Disposizioni di attuazione al D.Lgs. 141”, (gennaio 2012) tenuto

conto della loro ormai prossima emissione definitiva da parte dell’Autorità di Vigilanza. Tale fonte normativa, che andrà

a sostituire la Circolare 216, detta dei requisiti organizzativi più stringenti.

PRINCIPI DI

ORGANIZZAZIONE

Circ. Banca d’Italia n.216

Disp. attuaz. al D.Lgs. 141



Circ. Banca d’Italia n.216• I soggetti che svolgono funzioni di amministrazione e direzione presso gli

intermediari finanziari assumono un ruolo fondamentale ai fini della definizione di

un adeguato sistema organizzativo e del conseguimento di un efficiente sistema

dei controlli interni.

• La ripartizione di competenze tra gli organi aziendali deve garantire in ogni caso

una costante dialettica interna tra gli organi, evitando sovrapposizioni di competenze

che possano incidere sulla funzionalità aziendale.

• L’operato degli organi amministrativi deve essere sempre documentato, al fine

di consentire un controllo sugli atti gestionali e sulle decisioni assunte.

• La documentazione dell’azione amministrativa e la presenza di una dialettica costante

con l’alta direzione e il collegio sindacale assumono particolare rilevanza nel caso in cui

vi sia un amministratore unico.

PRINCIPI GENERALI DI ORGANIZZAZIONE

• Presupposto di un sistema di governo e controllo completo e funzionale è

l’esistenza di un’organizzazione aziendale adeguata per assicurare la sana e

prudente gestione degli intermediari e l’osservanza delle disposizioni loro applicabili.

Disposizioni di attuazione

al D.Lgs. 141

Per essere conformi alla disposizione in oggetto, i Confidi devono definire e adottare i presidi dettagliati nella slide

seguente:



solidi dispositivi di governo societario nonché processi decisionali e una struttura organizzativa

adeguati. I rapporti gerarchici e la suddivisione delle funzioni sono definiti in forma chiara e documentata

politiche di governo e procedure per la gestione e il controllo dei rischi aziendali e per la

prevenzione dei conflitti di interesse, idonee ad assicurare la sana e prudente gestione dei rischi aziendali,

nel rispetto delle previsioni di cui al presente capitolo

criteri e procedure volti a garantire che l’affidamento di funzioni al personale o ai soggetti terzi di

cui l’intermediario si avvale per lo svolgimento delle proprie attività non sia tale da impedire loro di

svolgere in modo adeguato e professionale una qualsiasi di tali funzioni;

un efficace sistema dei controlli interni

misure che assicurino che il personale e i soggetti terzi di cui l’intermediario si avvale per lo svolgimento

delle proprie attività conoscano le procedure da seguire per il corretto esercizio delle proprie funzioni e siano

provvisti delle qualifiche, delle conoscenze e delle competenze necessarie per l’esercizio delle

responsabilità loro attribuite;

efficaci flussi interni di comunicazione delle informazioni


ex Attuazione D.Lgs.141

1

2

3

4

5

6



procedure e sistemi idonei a tutelare la sicurezza, l’integrità e la riservatezza delle informazioni,

tenendo conto della natura delle informazioni medesime;

politiche, sistemi, risorse e procedure per la continuità dell’attività e dei servizi, formalizzati in un apposito

piano aziendale di continuità operativa, adeguati ad assicurare la capacità di operare su base continuativa,

limitare le perdite in caso di gravi interruzioni dell’operatività, recuperare tempestivamente i dati e le funzioni al

fine di riprendere tempestivamente i servizi.

un sistema informativo idoneo a:

- fornire supporto alla conduzione delle attività e all’attuazione delle strategie aziendali;

- conservare registrazioni ordinate dei fatti di gestione dell’intermediario, della sua organizzazione interna e di

ogni operazione con il richiesto grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo

temporale;

- assicurare flussi informativi adeguati e tempestivi agli organi aziendali, alle funzioni di controllo e ad ogni

livello dell’organizzazione aziendale, con particolare riferimento ai dati necessari per il corretto esercizio delle

proprie responsabilità e per seguire l’evoluzione dei rischi;

- fornire alla Banca d'Italia un quadro fedele della posizione patrimoniale, economica e finanziaria

dell’intermediario;

7

8

9


ex Attuazione D.Lgs.141



In concreto l’implementazione di un sistema organizzativo completo si sostanzia nella definizione e

formalizzazione (o implementazione) dei seguenti principali presidi:

• Corporate Governance;

• Struttura Organizzativa: Regolamento aziendale/ Funzionigramma/ Organigramma che

definiscano chiaramente ruoli e responsabilità delle diverse strutture aziendali, gerarchie e relativi

riporti;

• Policy di gestione dei rischi aziendali e per la prevenzione di Conflitti di Interesse;

• Sistema di Controlli Interni adeguato (regole, funzioni, strutture, risorse, mappatura processi,

procedure e controlli);

• Sistema informativo aziendale adeguato a supportare efficacemente l’operatività

aziendale e garantisca la qualità/ sicurezza dei dati e la continuità operativa;

• Specifici Programmi di Formazione (esempio: Antiriciclaggio).

Per garantire la costituzione e tenuta del sistema organizzativo aziendale, si rendono pertanto opportuni interventi di

implementazione e manutenzione periodici a livello organizzativo.

- Organo con funzione di supervisione strategica;

- Organo con funzione di direzione;

- Organo con funzione di controllo.


Sistema dei Controlli Interni

SISTEMA DEI CONTROLLI

INTERNI

Circ. Banca d’Italia n.216

Disp. attuaz. al D.Lgs. 141

Analogamente agli Assetti Organizzativi, il Sistema dei Controlli Interni per i Confidi attualmente iscritti nell’Elenco

Speciale è disciplinato dalla Circolare di Banca d’Italia n. 216 “Istruzioni di Vigilanza per gli Intermediari

Finanziari iscritti nell’Elenco Speciale”.

E’ necessario e opportuno inoltre considerare le “Disposizioni di attuazione al D.Lgs. 141”, tenuto conto della loro

ormai prossima emissione da parte dell’Autorità di Vigilanza. Tale fonte normativa, che andrà a sostituire la Circolare

216, detta dei requisiti organizzativi più stringenti.



Circ. Banca d’Italia n.216• Il sistema dei controlli interni è costituito dall’insieme di regole, procedure e

strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali

e il conseguimento dell’efficacia ed efficienza dei processi aziendali, della salvaguardia

del valore delle attività e protezione dalle perdite, dell’affidabilità e integrità delle

informazioni contabili e gestionali, della conformità delle operazioni con la legge, la

normativa di vigilanza, le disposizioni interne dell’intermediario.

Disposizioni di attuazione

al D.Lgs. 141

• Il sistema dei controlli interni è costituito dall’insieme di regole, funzioni, strutture,

risorse, processi e procedure volti ad assicurare, nel rispetto della sana e prudente

gestione, il conseguimento delle seguenti finalità:

• verifica dell’attuazione delle strategie e delle politiche aziendali;

• salvaguardia del valore delle attività e protezione dalle perdite;

• efficacia ed efficienza dei processi aziendali;

• affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;

• prevenzione del rischio che l’intermediario sia coinvolto, anche involontariamente, in

attività illecite (con particolare riferimento a quelle connesse con il riciclaggio, l’usura

ed il finanziamento al terrorismo);

• conformità delle operazioni con la legge e la normativa di vigilanza, nonché con le

politiche, i regolamenti e le procedure interne



Il Sistema dei Controlli Interni deve essere strutturato, tenendo conto del principio di proporzionalità, secondo il

seguente schema:

Controlli 3 Livello

Controlli 2 Livello

Controlli 1 Livello

Controlli sulla gestione dei rischi (risk management,

compliance) che hanno l’obiettivo di verificare:

- Il rispetto dei limiti operativi assegnati alle varie funzioni;

- La coerenza dell’operatività delle singole aree produttive con gli

obiettivi di rischio-rendimento assegnati;

- La conformità alle norme dell’operatività aziendale.

Le funzioni preposte a tali controlli sono distinte da quelle

produttive; esse concorrono alla definizione delle politiche di

governo dei rischi e del processo di gestione dei rischi.

Revisione Interna (internal audit): in tale ambito rientra la

valutazione periodica della completezza, funzionalità e adeguatezza

del sistema dei controlli interni, inclusi quelli sul sistema

informativo (EDP audit) , con cadenza prefissata in relazione alla

natura e all’intensità dei rischi. L’attività è condotta da funzioni

diverse e indipendenti da quelle produttive, anche attraverso

verifiche in loco.

Controlli di Linea: diretti ad assicurare il corretto svolgimento

delle operazioni connesse con l’attività di concessione di

finanziamenti e le altre attività esercitate. Essi sono effettuati dalle

stesse strutture operative (es. controlli di tipo gerarchico,

sistematici e e a campione), incorporati nelle procedure (anche

automatizzate) ovvero eseguiti nell’ambito dell’attività di back

office.



I Confidi devono istituire le funzioni di controllo (Internal Audit, Risk Management, Compliance) assicurandone

l’indipendenza dalle funzioni operative. Nello specifico:

Indipendenza

• Tali funzioni dispongono dell’autorità, delle risorse e delle competenze necessarie per lo

svolgimento dei loro compiti;

• I responsabili non sono gerarchicamente subordinati ai responsabili delle funzioni

sottoposte a controllo e sono nominati dall’organo con funzione di gestione, d’accordo con

l’organo con funzione di supervisione strategica, sentito l’organo con funzione di controllo. Essi

riferiscono direttamente agli organi aziendali;

• coloro che partecipano alle funzioni aziendali di controllo non partecipano

direttamente alla prestazione delle attività che essi sono chiamati a controllare (…);

• le funzioni aziendali di controllo sono tra loro separate sotto un profilo

organizzativo (…);

• il metodo per la determinazione della remunerazione di coloro che partecipano alle

funzioni aziendali di controllo non deve comprometterne l’obiettività.

Le funzioni aziendali di controllo presentano agli organi aziendali, almeno 1 volta all’anno, relazioni sull’attività

svolta e forniscono agli stessi organi consulenza per i profili che attengono ai compiti di controllo svolti.



Ai fini dell’effettuazione di adeguati controlli sull’operatività, è necessaria la formalizzazione dei processi aziendali. Nel

dettaglio questi possono classificarsi come illustrato:

Processi di

Business

Processi di

Supporto

• sono i processi necessari per la gestione operativa dell’azienda. Predispongono le risorse, le infrastrutture, le

competenze e le conoscenze necessarie per i processi aziendali e possono essere previsti dalla normativa di

riferimento. Per quanto riguarda i processi disciplinati, ad esempio ricoprono particolare rilevanza i processi

di Segnalazioni di Vigilanza e disclosure: segnalazioni statistiche, segnalazioni prudenziali,

segnalazione LGD, Resoconto Icaap, Pillar 3.

Nello specifico il processo in oggetto è composto dai seguenti sottoprocessi:

Per la produzione delle Segnalazioni di Vigilanza la normativa prevede di effettuate opportune attività di

data quality, tese a garantire la correttezza delle segnalazione, e l’implementazione di strumenti di

reportistica (cruscotti di controllo).

• sono i processi core aziendali ed hanno un maggior impatto sui risultati di business dell'azienda. Ad

esempio, per i Confidi ricopre particolare rilevanza il processo creditizio di Concessione di Garanzie.

Nello specifico il processo in oggetto è composto dai seguenti sottoprocessi:

Delibera ReportingIstruttoria Monitoraggio Gestione deteriorati

attività di analisi

relative alle

richieste di

rilascio garanzie

attività di

approvazione

della

concessione

delle garanzie

attività di

monitoraggio e

controllo sulle

diverse garanzie

rilasciate

attività di

predisposizione

ed invio di

reporting

direzionale e di

controllo

attività di rilevazione e

gestione delle posizioni

deteriorate (rettifiche sulle

garanzie).


Risk Governance

Con riferimento alla Risk Governance, come già anticipato nelle slide precedenti, i Confidi devono costituire delle

apposite funzioni di controllo dei rischi, nello specifico la funzione di Risk Management e la funzione di Compliance, in

grado di gestire e governare i rischi aziendali. In dettaglio le funzioni in oggetto devono svolgere i seguenti compiti:

• collabora alla definizione delle politiche e del processo di gestione del rischio e delle

relative procedure e modalità di rilevazione e controllo;

• presiede al funzionamento del sistema di misurazione e controllo dei rischi e ne

verifica il rispetto da parte dell’intermediario; in tale contesto sviluppa e applica

indicatori in grado di evidenziare situazioni di anomalia e inefficacia dei sistemi di

misurazione e controllo dei rischi;

• monitora costantemente l’evoluzione dei rischi aziendali e il rispetto dei limiti operativi

all’assunzione delle varie tipologie di rischio;

• analizza i rischi dei nuovi prodotti e servizi e di quelli derivanti dall’ingresso in nuovi

segmenti operativi e di mercato;

• verifica l’adeguatezza e l’efficacia delle misure prese per rimediare alle carenze

riscontrate nel sistema di controllo dei rischi.

Risk Management

La funzione di compliance, al fine di valutare l’adeguatezza delle procedure interne

rispetto all’obiettivo di prevenire la violazione di leggi, regolamenti e norme di

autoregolamentazione applicabili all’intermediario finanziario:

• identifica le norme applicabili all’intermediario finanziario e alle attività da esso prestate

e ne misura/valuta l’impatto sui processi e sulle procedure aziendali;

• propone modifiche organizzative e procedurali volte ad assicurare l’adeguato presidio

dei rischi di non conformità alle norme;

• predispone flussi informativi diretti agli organi aziendali e alle altre funzioni aziendali di

controllo;

• verifica l’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del

rischio di non conformità.

Compliance


Risk Governance

La funzione di conformità alle norme è coinvolta nella valutazione ex ante della

conformità alla regolamentazione applicabile di tutti i progetti innovativi (inclusa

l’operatività in nuovi prodotti o servizi) che l’intermediario intenda intraprendere nonché

nella prevenzione e nella gestione dei conflitti di interesse anche con riferimento ai

dipendenti e agli esponenti aziendali. Altre aree di intervento della funzione di conformità

alle norme sono:

• la verifica della coerenza del sistema premiante aziendale (in particolare

retribuzione e incentivazione del personale) con gli obiettivi di rispetto delle norme,

dello statuto nonché di eventuali codici etici o altri standard di condotta applicabili

all’intermediario;

• la consulenza e assistenza nei confronti degli organi aziendali dell’intermediario in

tutte le materie in cui assume rilievo il rischio di non conformità nonché la

collaborazione nell’attività di formazione del personale sulle disposizioni applicabili

alle attività svolte, al fine di diffondere una cultura aziendale improntata ai principi di

onestà, correttezza e rispetto dello spirito e della lettera delle norme.

Compliance


Conclusioni

• I Confidi di maggiori dimensioni, tenuti alla prossima implementazione degli assetti

organizzativi e di controllo illustrati nelle slides precedenti, svolgono in misura prevalente

l’attività di garanzia collettiva dei fidi e possono esercitare anche attività residuali (attività

riservate ad altri intermediari finanziari entro un limite pari al 20% del totale dell’attivo) e

attività connesse e strumentali (attività accessorie che consentono di sviluppare l'attività

esercitata);

• L’implementazione di assetti organizzativi, di controllo e della risk governance

conformi alla normativa di riferimento comporta dei costi di adeguamento, in termini

monetari e di impegno di risorse;

• L’ adeguamento normativo implica recuperi di efficienza ed efficacia nell’operatività

(assetti organizzativi) e nella gestione dei rischi (sistema dei controlli interni e risk

governance) che può riflettersi in miglioramenti nelle performance aziendali.


Contatti

Salvatore SpagnoloExecutive Director

FSO Advisory Services: Financial Services Risk ManagementTel. +39 335 6798808

E-mail: [email protected]

Per maggiori informazioni contattare:

mailto:[email protected]

confidi assetti organizzativi e risk governance · con riferimento alla risk governance, come già...

Documents