Human and touching a holographic "audit" button

L’Internal Audit ai tempi del Covid-19

Gli impatti di una crisi globale

Il COVID-19 è passato dall’essere una crisi sanitaria a rappresentare una crescente crisi macroeconomica nel giro di pochi giorni. Il potenziale destabilizzante di tale crisi sta destando serie preoccupazioni nei mercati di tutto il mondo. Sebbene nessuno sia sicuro della portata del suo impatto, sarebbe imprudente per qualsiasi nazione o organizzazione ignorare l’esistenza di un virus in rapida diffusione e soprattutto il suo effetto sulle economie globali. L’Italia, in aggiunta, sta vivendo in prima linea questa battaglia con un impatto diretto sul proprio tessuto economico e sociale. Questa situazione sta mettendo sotto stress i sistemi di controllo e di continuità operativa delle banche attivando procedure di emergenza più o meno codificate per far fronte all’indisponibilità delle sedi di lavoro e taluni casi anche di persone.

Una dura prova per tutti

Il virus è un vivido esempio di quei rischi emergenti e non controllabili di cui si parla ampiamente negli ultimi anni. Alcuni, come il COVID-19, sono molto difficili da prevedere e il loro impatto finale è difficile da giudicare. Questi tipi di rischi richiedono la massima attenzione e in questo senso le competenze e il posizionamento della funzione di internal audit possono essere preziosi. Tale situazione di stress sta mettendo a dura prova il sistema dei controlli interni delle banche che richiede pertanto un lavoro aggiuntivo alla funzione di Internal Audit di garantire assurance sulla gestione ordinaria delle attività.

Il paper dell’IIA

In tale contesto anche the institute of Internal Audit ha predisposto alcuni articoli in materia tra cui si segnala “In the Face of the Coronavirus, Internal Auditors Must Do More Than Don Masks”, che suggerisce alla funzione di:

  1. Comprendere e valutare l’intera gamma dei rischi;
  2. Valutare i piani già esistenti di organizzazione e gestione delle crisi nonché quelli legati alla continuità aziendale;
  3. Consigliare alle organizzazioni di pensare non solo ai rischi immediati;
  4. Consigliare alle organizzazioni di pensare alle implicazioni a lungo termine;
  5. Continuare a monitorare la situazione globale e tenersi aggiornati.

La considerazione sui rischi emergenti e “non convenzionali” ha preso alla sprovvista gli auditor europei come si evince dall’analisi dei topic risk 2020 dell’IIA in cui non sia stato considerato il rischio di pandemia come primario rischio aziendale. Nonostante “infection disease” sia stato trattato all’interno del Global Risk Report emesso annualmente dal World Economic Forum come rischio a impatto alto, ma a probabilità bassa.

Alla ricerca della Business Continuity

Come ben sappiamo, Banca d’Italia richiede alle funzioni di Internal Audit di effettuare una verifica annuale mirata sul sistema di business continuity che deve essere ricompreso di tutte le sue indisponibilità (persone, sistemi, luoghi). La funzione IA deve pertanto essere più lungimirante nella lettura di questi piani, che al momento sono in poche realtà più evolute hanno considerato il rischio di pandemia un fattore che può compromettere la continuità operativa con piani di contingency ben strutturati. A tal proposito nel comunicato stampa di Banca d’Italia su “Proroga dei termini e altre misure temporanee per mitigare l’impatto del COVID-19 sul sistema bancario e finanziario italiano” si sottolinea la necessità fondamentale di “considerare e affrontare il rischio di pandemia nei piani di emergenza. Le banche meno significative e gli altri intermediari vigilati sono invitati a rivedere i piani di continuità operativa e a considerare quali azioni possono essere intraprese in modo di minimizzare i potenziali effetti avversi della diffusione del COVID-19”.

Le disposizioni delle autorità

Inoltre, il Governo italiano e le Autorità di Vigilanza per far fronte alle emergenze stanno emanando una pluralità di normative per regolamentare l’operatività delle banche in questo periodo di emergenza generando restrizioni operative che stanno generando discontinuità organizzativa.

A titolo esemplificativo vi sono state le seguenti restrizioni con effetto immediato:

  • Divieto temporaneo di assumere o incrementare posizioni nette corte;
  • Riduzione della soglia di comunicazione per partecipazioni azionarie;
  • Moratoria sui crediti;
  • Crediti di imposta legati alla cessione di NLP;
  • Impatto legato al trattamento dei dati nel contesto operativo dello smart working.
Il nostro supporto

NIKE Group, con il suo team esperto di sistema dei controlli interni, di normativa e business bancario e assicurativo, supporta le funzioni di Internal Audit nel:

  1. predisporre di audit mirati in ambito Continuità operativa per accertare la presenza di piani in business continuity che contemplino anche rischi di pandemia e l’adeguatezza dei relativi piani, valorizzando le esperienze di primari gruppi bancari e delle best practice come il NIST;
  2. eseguire audit mirati su ambiti che hanno subito in modo diretto l’impatto di detti rischi, oppure su funzioni che hanno il compito di controllare e valutare il rischio come ad esempio la funzione Risk Management (i.g. valutare i modelli di LDC e SRA e di stress test sulle modalità di considerazione e gestione di tali fattispecie di rischi);
  3. fornire un work program mirati che considera tutti i change normativi avvenuti nel brevissimo periodo da parte del Governo e delle Autorità di Vigilanza al fine di fornire assurance sul rispetto normativo e organizzativo;
  4. fornire alert normativi mirati sui change normativi e sugli impatti per la funzione di internal audit.

 

Per qualsiasi domanda o approfondimento è possibile contattare la nostra Sales Force alla mail sales2@nikegroup.it oppure direttamente il nostro specialista alla mail dpaparella@nikegroup.it

 

– Discover the Regtech Company –