Tutte le banche dovrebbero adottare un programma di audit adeguato. Idealmente, un tale programma dovrebbe consistere in un programma continuo di audit interno accoppiato con un programma di revisione ben pianificato. Tale sistema può ridurre notevolmente il rischio che una banca non rilevi potenziali gravi problemi.
74http://www.ritholtz.com/blog/2013/03/jpmorgans-internal-control-problems-or-hsbcs-got-nothing-on-
us/
http://www.theguardian.com/business/2011/oct/25/ubs-admits-internal-controls-failed
75 Federal Deposit Insurance Corporation, Risk Management Manual of Examination Policies, Ottobre 2012; www.fdic.gov/regulations/safety/manual/index_pdf.htm
Il consiglio di amministrazione e l'alta direzione di una banca è responsabile del fatto che il sistema di controllo interno funzioni efficacemente. La loro responsabilità non può essere delegata ad altri. Un elemento importante per valutare l'efficacia del sistema di controllo interno è una funzione di revisione interna. Se correttamente strutturato e condotto, l’audit interno fornisce all’amministrazione e all'alta direzione informazioni vitali sulle carenze nel sistema di controllo interno in modo che il management possa prendere tempestive azioni correttive.76 Gli
esaminatori dovrebbero rivedere la funzione di revisione interna di un istituto e raccomandare miglioramenti, se necessario.
La FDIC fa adottare standard minimi per un programma di audit interno, che si trova nella parte 364 delle “Norme per la sicurezza e la solidità” del Regolamento FDIC. Il regolamento prevede che ogni banca sia fornita di un programma di controllo interno con un adeguato monitoraggio; la banca deve garantire indipendenza e obiettività nei controlli, personale qualificato, una revisione dei sistemi informativi, documentazione adeguata di test e risultati di eventuali azioni correttive, verifica e revisione delle azioni di gestione per affrontare le debolezze materiali e controllo da parte della commissione di revisione o del consiglio di amministrazione sull’efficacia dei controlli messi in atto.
Ogni intermediario bancario dovrebbe avere una funzione di audit interno che è appropriata per la sua dimensione, la natura e la portata delle sue attività. Amministratori e alti dirigenti dovrebbero avere la ragionevole certezza che il sistema di controllo interno sia utile a rilevare importanti operazioni inesatte, incomplete o non autorizzate, oppure carenze nella salvaguardia del patrimonio, sia presente un’informativa finanziaria affidabile (che comprende segnalazioni di vigilanza) e non abbia deviazioni dalle leggi, regolamenti e politiche di gestione. Per essere sicuri che la funzione di revisione interna affronti i rischi e sia conforme alle esigenze poste dalle attività in corso e programmate dell'intermediario, gli amministratori dovrebbero valutare se le attività di audit interno della loro istituzione sono condotte in conformità con gli standard professionali, come l'Institute of Internal Auditors (IIA) che norma le pratiche professionali della revisione interna. Tali norme riguardano l'indipendenza, la competenza professionale, la portata del lavoro, le prestazioni di lavoro di audit, la gestione del controllo interno, e controlli di qualità. Inoltre, gli amministratori e gli alti dirigenti dovrebbero garantire che le seguenti caratteristiche chiave riguardanti la struttura, la gestione, il personale e la qualità dell'audit, la portata, le comunicazioni, ed i piani di emergenza si riflettano nella funzione di revisione interna.77
76 D’Onza G., Il sistema di controllo interno nella prospettiva del risk management, Giuffrè Editore, 2008 77 https://na.theiia.org/Pages/IIAHome.aspx
La funzione di audit interno dovrebbe essere strutturata in modo che il consiglio abbia una certa sicurezza che l'audit svolga le sue funzioni con assoluta imparzialità e non sia indebitamente influenzato dai manager nelle operazioni giornaliere. Il comitato di audit, dovrebbe controllare la funzione di revisione interna, valutare le prestazioni e assegnare la responsabilità della funzione di revisione interna ad un membro della direzione o del preposto al controllo interno. Il preposto al controllo interno deve comprendere la funzione di revisione interna e non ha alcuna responsabilità per il funzionamento del sistema di controllo interno. Idealmente, il preposto al controllo interno deve riportare direttamente ed esclusivamente al comitato per il controllo sia per quanto riguarda le questioni di audit e le questioni amministrative, ad esempio, le risorse,
budget, valutazioni, e la compensazione.
Un efficace e indipendente sistema di controllo interno e di audit interno costituisce la base per le operazioni di sicurezza e di stabilità. La frequenza e la portata del controllo interno e dei test devono essere coerenti con la natura, la complessità ed il rischio delle attività in bilancio e fuori bilancio dell’intermediario.
È responsabilità del comitato di gestione e di controllo valutare attentamente che l’auditing effettivamente monitori il sistema di controllo interno, tenendo conto dei costi e dei benefici. Almeno una volta all'anno, il comitato per il controllo deve esaminare e approvare la valutazione del controllo dei rischi e la portata del piano di audit. Il comitato di controllo dovrà verificare periodicamente il rispetto del controllo interno al piano di revisione, mantenendo una certa flessibilità di lavoro quando questioni importanti sorgano o quando cambiamenti significativi si verifichino nell'ambiente in cui opera l'intermediario, o cambino struttura, attività, esposizioni al rischio o sistemi.
Sia che si utilizzi uno staff di revisione interna e/o esternalizzata, la banca dovrebbe avere un piano di emergenza per attenuare una discontinuità significativa nell’audit, in particolare per le aree ad alto rischio. Per esempio, il rischio operativo può aumentare quando una banca stipula un accordo di audit in outsourcing, perché l'accordo può essere chiuso improvvisamente, e la banca potrebbe trovarsi senza alcuna funzione di audit che aiuti il management nella gestione e supervisione interna.78
78 Federal Deposit Insurance Corporation, Risk Management Manual of Examination Policies, Ottobre 2012; www.fdic.gov/regulations/safety/manual/index_pdf.htm