1. 2 Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo”

1

2

Sulla base dell’impianto metodologico e dei principi di riferimento del Progetto di Categoria “Sistema dei Controlli Interni del Credito Cooperativo” si è dato corso, con BCC Multimedia, alla realizzazione dello strumento applicativo:

per il supporto alle attività di Internal Auditing delle Federazioni locali per l’analisi dei rischi e dei controlli nelle BCC

Obiettivi di A.R.Co. Garantire un approccio omogeneo, in termini di metodo, di prassi operative e

di reportistica Conseguire una maggiore efficacia ed efficienza dei servizi di audit delle delle

Federazioni locali: sia nelle attività sul campo, sia in quelle di back-office Svolgere le attività di audit secondo una logica di trasparenza verso le BCC,

garantendo la tracciabilità dei controlli Superare la “distanza” con la banca, assicurando la continuità dell’attività di

controllo e il monitoraggio degli interventi effettuati dalla BCC Consentire la gestione e l’aggiornamento dei contenuti e del sistema a

livello centrale

A.R.Co. (Analisi Rischi e Controlli)

3

Maggiore velocità e completezza delle attività sul campo

Operatività da qualsiasi postazione (presso BCC o Federazione)

Accresciuta capacità di analisi e storicizzazione dei dati

Gestione della pianificazione e degli archivi “multibanca”

TECNOLOGIA WEB

CONDIVISIONE DELLE CONOSCENZE CONDIVISIONE DELLE CONOSCENZE

ee

MIGLIORAMENTO DEI PROCESSI DI LAVOROMIGLIORAMENTO DEI PROCESSI DI LAVORO

È comunque possibile “lavorare” i rischi in

modalità off-line

4

Alcune funzionalità dell’applicativo… Modulo Banca - E’ stato realizzato per dare la possibilità alle BCC di

condurre la propria autodiagnosi, sia in termini di Rischi che di Controlli. Utilizzo diversificato delle check-list - attraverso diverse “denominazioni”

dei rischi (analizzabili / da non analizzare; assegnati / non assegnati; applicabili / non applicabili; valutati / non valutati).

Possibilità di inserire rischi personalizzati (rischi “custom”) - in presenza di specifiche esigenze l’amministratore può aggiungere rischi “ad hoc” ai processi auditati. Tali rischi, a disposizione della Federazione che li ha immessi, possono anche essere portati all’attenzione della Commissione Controlli e qualora “validati” entrare a far parte delle check-list di Categoria.

Sezione “Documentazione” - in quest’area possono essere inseriti e gestiti, associandoli ad ogni singola banca, i documenti utilizzati o visionati nel corso dell’attività di auditing.

Classificazione dei rischi operativi per tipologia di eventi di perdita secondo Basilea 2 (Frode interna; Frode esterna; Rapporto di impiego e sicurezza sul lavoro; Clientela, prodotti e prassi di business; Danni a beni materiali; Interruzioni dell’operatività e disfunzioni dei sistemi informatici; Esecuzione, Consegna e gestione dei processi).

5

Alcune funzionalità dell’applicativo… D.Lgs 231/2001 - identificazione dei rischi il cui adeguato presidio implica un

rispetto dei protocolli organizzativi definiti a livello di Categoria nel corso del Progetto sul D.Lgs 231 - disciplina sulla “Responsabilità amministrativa degli enti”.

Nella conduzione di verifiche di “Follow-up”, visualizzazione automatica dei rischi compilati nel corso di un precedente intervento.

Alcune novità introdotte con “A.R.Co. 2”… Nuovi processi di verifica:

“Piano Integrativo”, per ottimizzare il recepimento delle nuove check list inserite nell’applicativo;

“Piano Normativo”, per effettuare verifiche “trasversali” ai processi, nell’ottica di rendere ARCo più funzionale alla verifica dei rischi di conformità alle norme;

“Piano Filiali”, per effettuare verifiche sullo stesso processo per le diverse filiali della Banca.

Potenziamento dell’utenza Banca: possibilità di pianificare autonomamente le attività di verifica condotte internamente e di storicizzare i controlli effettuati

6

La struttura dell’applicativo “A.R.Co.”

In A.R.CO. sono censiti tutti i 20 processi (suddivisi in fasi, sottofasi e attività)

rilasciati nell’ambito del Progetto di Categoria sul Sistema dei Controlli Interni.

7

La struttura dell’applicativo “A.R.Co.”

Rischio Rischio ii

Rischio Rischio 11

Rischio Rischio 22

Fase 2Fase 2 Fase 1Fase 1 Fase iFase i Fase nFase n

Approccio Approccio

““RISK BASED”RISK BASED”

Impatto dei rischi

Mitigazione dei rischi

Controlli di linea

Controlli di linea

Controlli sulla gestione dei

rischi, di conformità

Controlli sulla gestione dei

rischi, di conformità

Controlli Internal Auditing

Controlli Internal Auditing

Basso Medio Alto Continuità

FR

EQ

UE

NZ

A Alt

oM

ed

ioB

ass

o

PESO

Indice di rischiosità

8

Basso Medio Alto Continuità

FR

EQ

UE

NZ

A Alt

a M

edia

Bas

sa

PESO

Indice di rischiosità potenziale

LA METODOLOGIA “RISK BASED”

I rischi sono stati valutati in modo qualitativo attraverso l’analisi di due parametri:

il “peso” (Continuità, Alto, Medio, Basso) si riferisce all’intensità del danno potenzialmente derivante dalla manifestazione del rischio

la “frequenza” (Alta, Media, Bassa) si riferisce alla stima del numero di volte in cui il rischio potrebbe manifestarsi all’interno della gestione delle fasi analizzate ovvero la ricorrenza potenziale del rischio all’interno del processo

La valutazione complessiva del rischio ha portato alla definizione di un indice di rischiosità potenziale (grading), che contempla l’effetto congiunto dei due parametri indicati

9

LA METODOLOGIA “RISK BASED”

Abbatte nella misura percentuale sopradefinita

l’Indice di Rischiosità potenziale (grading)

AltoAltoAlto

AltaMediaBassa

100

605040

302015

AltaMediaBassa

MedioMedioMedio

AltaMediaBassa

BassoBassoBasso

AltaMediaBassa

ContinuitàContinuitàContinuità

807570

0

1

2

4

5

1/11

11/27

27/54

54/80

80/100

Pesorischio

Frequenzarischio

Valutazione tecniche di controllo

IndiceRischiositàPotenziale

RischioResiduo Scoring=+ = -

Adeguato

In Prevalenza Adeguato

Parzialmente Adeguato

In Prevalenza Inadeguato

Inadeguato / Assente

- 90%

- 70%

- 45%

- 20%

- 0%

10

LA METODOLOGIA “RISK BASED”Determinazione dell’Indice di Rischiosità Valutazione delle “Tecniche di controllo”

PesoFrequenza probabilità

Indice rischiosità potenziale

Assente inadeguato

In prevalenza inadeguato

Parzialmente adeguato

In prevalenza adeguato

Adeguato

Continuità ALTO

100 5 5 4 2 0MEDIO

BASSO

Alto ALTO 80 4 4 2 1 0

MEDIO 75 4 4 2 1 0

BASSO 70 4 4 2 1 0

Medio ALTO 60 4 2 2 1 0

MEDIO 50 2 2 2 1 0

BASSO 40 2 2 1 1 0

Basso ALTO 30 2 1 1 0 0

MEDIO 20 1 1 0 0 0

BASSO 15 1 1 0 0 0

11

LA METODOLOGIA “RISK BASED”

Ad ogni intervallo di rischio residuo è associato un valore sintetico (SCORING)

che esprime un diverso grado di rischiosità, secondo la seguente legenda:

4

2

1

0

La tecnica di controllo in essere risulta essere assente o inadeguata a ridurre il rischio ad un livello accettabile

La tecnica di controllo non appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile

La tecnica di controllo appare sufficientemente adeguata a ridurre il rischio ad un livello accettabile, ancorché risulta essere migliorabile

La tecnica di controllo appare adeguata a ridurre il rischio ad un livello accettabile

5La tecnica di controllo in essere sui rischi di continuità aziendale, ossia rischi che possono pregiudicare la capacità di sopravvivenza dell’azienda, risulta essere assente, inadeguata o in prevalenza inadeguata a ridurre il rischio ad un livello accettabile

12

LE FUNZIONALITÀ PRINCIPALI

METODOLOGIA – sezione in cui sono visualizzabili le informazioni definite, relative a Processi, Categorie di Rischio, Fattori Qualificanti, Albero Normativo.

AUDITING – sezione che consente la pianificazione degli interventi di audit, la creazione e l’effettiva gestione delle verifiche, la generazione dei report.

RISCHI/CONTROLLI – agevola le ricerche su rischi e verifiche; consente di effettuare statistiche di vario genere incrociando diversi parametri (anni, piani, banche…).

DOCUMENTAZIONE – sezione per inserire e gestire la documentazione relativa alle banche auditate.

UTENTI – attraverso tale sezione l’amministratore può gestire gli utenti di A.R.Co.: inserirne di nuovi, modificarne i profili, eliminarli o ricercarli.

BANCHE – sezione per gestire le banche sotto contratto attraverso una serie di informazioni (nome, cod.ABI, scadenza contratto, referente interno, ecc.).

EXTRA – sezione con diverse funzioni: gestione delle “unità organizzative”, dei rischi “custom”, della lista Filiali, della lista Categorie, dei Report Auditor.

PASSWORD – sezione per la gestione delle password di accesso ad A.R.Co.

Struttura dell’applicativo – le sezioni

13

Il c.d. “modulo banca” è stato realizzato per consentire alle BCC di condurre la propria autodiagnosi, in termini di valutazione dei rischi e dei controlli interni alla banca. La diversa periodicità dei controlli interni, in particolare sulla gestione dei rischi, ha determinato la necessità di rimodulare l’applicativo rendendo indipendente la pianificazione e la storicizzazione di tali controlli rispetto alla tempistica delle verifiche dei piani di audit.

È possibile produrre anche un report per la consuntivazione e verifica dell’attività di Risk Self Assessment effettuata, in termini di valutazione dei rischi e dei relativi controlli, e la produzione di report di consuntivazione degli stessi. La BCC ovvero gli utenti abilitati possono, infatti, relativamente ai controlli di linea, sulla gestione dei rischi, e di conformità, descrivere le attività necessarie al presidio dei rischi e generare la relativa reportistica.

L’utilizzo di A.R.Co. in BCCLE FUNZIONALITÀ PRINCIPALI

14

Il flusso di lavoro dell’Internal Auditing

LE FUNZIONALITÀ PRINCIPALI

ARCo è stato progettato sulla base dell’effettivo flusso di lavoro logico necessario a realizzare un intervento di Audit. Il suo utilizzo, quindi, prevede i seguenti passaggi:

il censimento della Banca e degli utenti da parte dell’Amministratore la creazione da parte dello stesso dei Piani di audit e delle relative verifiche l’assegnazione delle verifiche agli auditors l’audit dei rischi presenti nella singola verifica e la consultazione dei controlli in

essere, compilati dalla Banca la creazione dei report

15

La pianificazione delle verifiche

LE FUNZIONALITÀ PRINCIPALI

Il Piano di audit può contenere più verifiche

Una verifica può essere relativa soltanto ad un unico processo*

Il processo può essere auditato da diversi auditors; la procedura consente comunque la creazione di un unico Report ordinario

Il Piano di audit di “follow up” può contenere sia verifiche di processi auditati nel piano standard, sia nuove verifiche

Nella conduzione di un’attività di follow-up visualizzazione automatica dei rischi compilati nel corso del precedente intervento

* Unica eccezione: nel “piano filiali” è possibile effettuare più verifiche sullo stesso processo per le diverse filiali della banca

Attraverso questa funzionalità vengono progettate tutte le attività di auditing relative ad una BCC per uno specifico anno, ovvero si configura il piano di azione del Servizio di Internal Auditing della Federazione.

16

La pianificazione delle verifiche – il perimetro dell’intervento di audit

LE FUNZIONALITÀ PRINCIPALI

I rischi associati alla verifica rappresentano il perimetro dell’intervento di audit.

Federazione(amministratore)

Federazione/BCC Auditor

da non analizzare

analizzabile assegnato applicabile valutato

non valutato

non applicabile

non assegnato

Il rischio “da non analizzare” è il rischio che il Responsabile del servizio di Internal Audit decide di non valutare per tutte le BCC che hanno esternalizzato il servizio alla FL.

Il rischio “non assegnato” è il rischio che il Responsabile del servizio di Internal Audit di concerto con la banca decide di non valutare e viene pertanto escluso dalle verifiche.

Il rischio “non applicabile” è il rischio che non è presente all’interno della banca.

Il rischio “non valutato” è il rischio che è stato assegnato alla verifica ma non è stato valutato sul campo per problemi contingenti.

17

LE FUNZIONALITÀ PRINCIPALI

La conduzione delle verifiche – analisi dei rischi

Un rischio elementare viene identificato attraverso i seguenti elementi::

descrizione del rischio categoria di rischio peso e frequenza fattore qualificante del sistema dei controlli interni controlli di linea (controlli di impianto e comportamentali) controlli sulla gestione dei rischi (controlli di secondo livello) controlli di Internal auditing (descrizione attività internal auditing)

18

I fattori qualificanti del Sistema dei Controlli interniRappresentano fattori critici del SCI, la cui inosservanza può determinare disfunzioni che possono tradursi “in notevoli perdite per le banche” di natura economico, patrimoniale e di immagine. Il concetto di adeguatezza si fonda sull’esperienza dei fattori che testimoniano “uno scarso rigore” nei controlli interni e che quindi, si sono rilevati inadeguati ad assicurare una gestione sana, imparziale e trasparente delle attività aziendali.Il modello si basa sulle caratteristiche del controllo interno messo a punto dal c.d. CoSO Report (il CoSO Report sintetizza i risultati del progetto USA commissionato dalla Treadway Commissione of Sponsoring Organization sul tema della corporate governance e del sistema dei controlli interni) il quale è costituito da una serie di fattori qualificanti :1) L’ambiente di controllo è rappresentato dalla sensibilità dei vertici aziendali nella

definizione di un adeguato ambiente di controllo 2) La valutazione dei rischi, ossia il processo continuo di identificazione e di analisi di

quei fattori che possono pregiudicare il raggiungimento degli obiettivi aziendali3) La struttura dei controlli consiste nelle modalità con cui vengono strutturati i diversi

livelli di controllo necessari all’interno della banca (di linea, sulla gestione dei rischi e di revisione interna)

4) Informazioni e comunicazioni, ossia il processo di gestione del flusso informativo (qualità, tempestività, completezza e integrità delle informazioni)

5) L’attività di monitoraggio consiste nella capacità della banca di presidiare in modo continuativo, il Sistema dei Controlli Interni, nonché di attivare gli interventi migliorativi definiti al fine di risolvere le principali criticità rilevate ed in particolare nell’incisività della banca nel rimuovere le anomalie.Ogni rischio è “agganciato” ad uno o più elementi dei singoli fattori qualificanti.

19

LE FUNZIONALITÀ PRINCIPALI

La conduzione delle verifiche – la valutazione dei controlli

I controlli di linea e sulla gestione dei rischi sono valutati in base alla loro capacità di ridurre l’indice di rischiosità potenziale.

La scala di valutazione qualitativa dei controlli esistenti è la seguente:

1. Adeguato2. In prevalenza adeguato3. Parzialmente adeguato4. In prevalenza inadeguato5. Inadeguato/assente

La valutazione complessiva dei controlli determina il “rischio residuo” ovvero il livello di rischiosità individuato (indice di rischiosità potenziale) ridotto (in misure percentuali predefinite) dal livello complessivo di adeguatezza dei controlli attivati dalla banca. Il Rischio Residuo si traduce nello “scoring”.

Scoring Scoring (rischio residuo)(rischio residuo) = Indice di rischiosità – valutazione controlli = Indice di rischiosità – valutazione controlli

20

LE FUNZIONALITÀ PRINCIPALILa conduzione delle verifiche – utilizzo off-lineÈ possibile auditare i rischi anche in modalità off line. In questo modo è possibile lavorare senza essere collegati ad A.R.Co., utilizzando un file Access (con maschere guidate):

la maschera, per ciascun rischio, conterrà le stesse informazioni che si trovano sulla versione online, relativamente alle tre tipologie di controllo

possibilità di generare un report riepilogativo delle attività svolte in merito alla valutazione dei controlli di linea e sulla gestione dei rischi

Selezione rischi da “esportare”

Lavorazione deiRischi OFF-LINE

Importazione deiRischi in ARCo

Report off-line

• Il file access ha un codice identificativo/nome univoco e riconoscibile.

• Per ciascun rischio in lavorazione non è disponibile lo storico delle valutazioni ma solo quella precedente in caso di Followup.

21

Predisposto al termine di un intervento di audit su un processo, ha la finalità di valutare i presidi attivati al fine di controllare e mitigare i rischi relativi al processo auditato e di indicare i punti di debolezza individuati nel processo suggerendo eventuali interventi volti a innalzare la sicurezza e la qualità del Sistema dei Controlli.

La struttura del documento

1. DEFINIZIONE DEGLI OBIETTIVI DELL’INTERVENTO (le finalità dell’intervento)

2. GIUDIZIO COMPLESSIVO (la valutazione complessiva dell’audit sul processo)

3. PRINCIPALI ELEMENTI DI CRITICITA’ (con i suggerimenti idonei per la rimozione)

4. ATTIVITA’ SVOLTE (descrizione delle attività di auditing effettuate)

5. LIMITI DELL’INTERVENTO (indicazione di specifici limiti connessi ad esempio alla indisponibilità di documenti e/o informazioni necessarie per l’obiettivo di audit o alla carenza nella collaborazione)

6. METODOLOGIE UTILIZZATE (nella conduzione dell’attività di revisione interna)

APPROFONDIMENTI

SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO

SEZIONE II - MASTER PLAN DEGLI INTERVENTI

SEZIONE III - PRINCIPALI DOCUMENTI ANALIZZATI

SEZIONE IV - METODOLOGIA RISK BASED

La reportistica - IL REPORT ORDINARIO

22

SEZIONE I - RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ DEL PROCESSO

IL REPORT ORDINARIO - APPROFONDIMENTI

La tabella 1 indica per ogni fase del processo auditato il livello di rischiosità potenziale standard (in relazione alle check list rilasciate nell’ambito del progetto di Categoria sul Sistema dei Controlli Interni)

La tabella 1 bis indica per ogni fase del processo auditato il livello di rischiosità potenziale dei rischi che sono stati inseriti nel Piano di audit. Sono quindi evidenziati anche i rischi “non applicabili”

23

RAPPRESENTAZIONE SINTETICA DEL LIVELLO DI RISCHIOSITÀ RESIDUALE DEL PROCESSO

Nella tabella 2 sono classificati, per ogni fase del processo auditato, i rischi residui ovvero gli scoring dei rischi valutati, attraverso la differenza tra rischi potenziali (tabella 1 bis) e tecniche di controllo attuate dalla banca sul processo esaminato.

La tabella 3 evidenzia la suddivisione dei rischi per scoring associata alla valutazione iniziale del rischio (indice di rischiosità potenziale). Fornisce quindi alla banca un supporto nella definizione delle priorità di intervento nel percorso di adeguamento dei Controlli Interni. Dovrà essere data priorità alle implementazioni relative ai rischi con scoring maggiore.

ABBATTIMENTO LIVELLO RISCHIOSITÀ POTENZIALE

IL REPORT ORDINARIO - APPROFONDIMENTI

24

ABBATTIMENTO PERCENTUALE DEL RISCHIO VALUTATO

La tabella 4 riporta la riduzione percentuale del peso potenziale dei rischi da parte del sistema dei controlli interni relativamente al processo “auditato”. Le percentuali indicate, rappresentano dunque l’efficacia del presidio dei controlli di “linea e sulla gestione dei rischi”

La tabella 4 bis riporta la riduzione percentuale del peso potenziale dei rischi assegnati alla verifica: a differenza della tabella precedente sono quindi considerati anche i rischi “non valutati”

IL REPORT ORDINARIO - APPROFONDIMENTI

25

COMPLESSITÀ INTERVENTI PER SCORING

La tabella 5 sintetizza gli interventi suggeriti dall’Internal Audit per la rimozione delle anomalie riscontrate: gli interventi sono classificati sulla base della priorità di implementazione determinata dallo Scoring del rischio residuo da presidiare.

IL REPORT ORDINARIO - APPROFONDIMENTI

26

1. PREMESSA2. RESPONSABILITÀ3. OBIETTIVO4. RIEPILOGO DELLE ATTIVITÀ SVOLTE5. LIMITI DEGLI INTERVENTI6. EVIDENZA DELLE PRINCIPALI CRITICITÀ E VALUTAZIONE DELLA

FUNZIONALITÀ DEL COMPLESSIVO SISTEMA DEI CONTROLLI INTERNI 7. PROPOSTA DELLE LINEE GUIDA DEL SUCCESSIVO PIANO DI AUDIT

APPROFONDIMENTI

QUADRO SINOTTICO DI VALUTAZIONE del S.C.I. (CoSO REPORT)

La struttura del documento

IL REPORT CONSUNTIVO

Ha la finalità di riepilogare le attività svolte dal servizio di Internal Auditing in un determinato periodo di riferimento, aggiornare in merito alla rimozione delle anomalie riscontrate, nonché fornire indicazioni sulla funzionalità complessiva del Sistema dei Controlli Interni.

27

Rappresentazione del livello di rischiosità residuale dei processi

Processi5 4 2 1 0 Non valutati Totale rischi

Gestione delle attività sui mercati finanziari 2 15 41 2 4 0 64

Gestione del credito 12 15 22 3 1 0 53

Incassi e pagamenti 1 2 13 21 3 0 40

Gestione del risparmio 1 22 11 3 0 0 37

Sviluppo del Mercato 1 11 13 4 1 0 30

Totale17 65 100 33 9 0 224

Peso indice di rischiosita' 7,6% 29,0% 44,6% 14,7% 4,0% 0,0% 100,0%

Indice di rischiosita' residuale (scoring)

IL REPORT CONSUNTIVO

28

Ha la finalità di valutare le caratteristiche strutturali del Sistema dei Controlli Interni, ovvero l’adeguatezza di quei fattori che assicurano una gestione sana, imparziale e trasparente delle attività aziendali. Le caratteristiche sono:

Rappresentazione per tipologia di processo (governo,mercato,infrastrutturale)

Calcolo automatico del valore associato ai singoli elementi dei fattori qualificanti

Il valore dei singoli elementi è rappresentato dallo scoring corrispondente alla media aritmetica dei Rischi Residui

Il quadro sinottico di valutazione del SCI – il CoSO Report

IL REPORT CONSUNTIVO

29

Il quadro sinottico di valutazione del SCI – la struttura

IL REPORT CONSUNTIVO

30

Fornisce, per ogni singola verifica, una stampa analitica delle informazioni censite nella maschera “rischio” ovvero i dati richiesti dall’auditor in relazione a:

controlli di linea

controlli sulla gestione dei rischi

attività di internal audit

La reportistica – il report di massimo dettaglio

LE FUNZIONALITÀ PRINCIPALI