Con il presente aggiornamento sono inseriti nel Titolo V della Circolare n. 263 del 27 dicembre 2006 «Nuove disposizioni di vigilanza prudenziale per le banche» il Capitolo 7 «Il sistema dei controlli interni», il Capitolo 8 «Il sistema informativo» e il Capitolo 9 «La continuita' operativa». Il Capitolo 7 definisce un quadro organico di principi e regole cui deve essere ispirato il sistema dei controlli interni, senza tuttavia esaurire le disposizioni organizzative applicabili alle banche. Le disposizioni ivi contenute, infatti, rappresentano la cornice di riferimento nella quale si inquadrano le regole sui controlli dettate all'interno di specifici ambiti disciplinari (ad es., regole organizzative in materia di gestione di singoli profili di rischio, di sistemi interni di misurazione dei rischi per il calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione del rischio di riciclaggio) (c.d. modello «hub and spokes»). Le disposizioni introducono alcune novita' di rilievo rispetto al vigente quadro normativo, al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale e affidabile. In particolare, le nuove norme enfatizzano il ruolo dell'organo con funzione di supervisione strategica nella definizione del modello di business e del Risk Appetite Framework; a tale organo e' richiesto anche di favorire la diffusione di una cultura dei controlli attraverso l'approvazione di un codice etico al quale sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. All'organo con funzione di gestione e' invece richiesto di avere un'approfondita comprensione di tutti i rischi aziendali e, nell'ambito di una gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno (incluso il rischio macroeconomico). Le disposizioni richiedono ai vertici delle banche di porre particolare attenzione alla definizione delle politiche e dei processi aziendali di maggiore rilievo, quali quelli riguardanti: la gestione dei rischi; la valutazione delle attivita' aziendali; l'approvazione di nuovi prodotti/servizi o dell'avvio di nuove attivita' nonche' dell'inserimento in nuovi mercati; lo sviluppo e la convalida dei modelli interni di misurazione dei rischi non utilizzati a fini regolamentari. La disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management) e' stata profondamente rivisitata; in particolare: - la nomina e la revoca dei responsabili delle funzioni aziendali di controllo sono di competenza esclusiva dell'organo con funzione di supervisione strategica, sentito l'organo con funzione di controllo; - i responsabili della funzione di controllo dei rischi (c.d. Chief Risk Officer) e della funzione di conformita' alle norme sono posti, almeno, alle dipendenze dell'organo con funzione di gestione, ferma restando la loro prerogativa di avere accesso diretto all'organo con funzione di supervisione strategica e all'organo con funzione di controllo. Il responsabile della funzione di revisione interna e', invece, sempre collocato a riporto gerarchico dell'organo con funzione di supervisione strategica; - le tre funzioni aziendali di controllo sono indipendenti dalle aree di business e fra loro separate. Se coerente con il principio di proporzionalita', e' consentito alle banche di istituire un'unica funzione di conformita' alle norme e di controllo dei rischi, ferma restando l'esigenza di mantenere in ogni caso separata la funzione di revisione interna per assicurare l'imparzialita' dei controlli di audit sulle altre funzioni di controllo; - i poteri della funzione di risk management sono stati rafforzati. La funzione, oltre a collaborare alla definizione del RAF, e' chiamata, tra l'altro, a fornire pareri preventivi sulla coerenza delle operazioni di maggiore rilievo con il RAF stesso. In caso di parere negativo, la decisione sull'operazione e' rimessa all'organo con funzione di gestione; - nell'ambito della disciplina sulla conformita' alle norme - fermo restando che il presidio sul rischio di non conformita' svolto dalla funzione di compliance si riferisce a tutte le disposizioni applicabili alle banche, incluse quelle di natura fiscale - il coinvolgimento della funzione e' graduato in relazione sia al rilievo che le singole norme hanno per l'attivita' svolta e per le conseguenze della loro violazione sia all'esistenza all'interno della banca di altre forme di presidio specializzato a fronte del rischio di non conformita' relativo a specifiche normative. Per assicurare il coordinamento e l'interazione tra le varie funzioni e organi con compiti di controllo (previsti dalla normativa societaria, contabile o di vigilanza), l'organo con funzione di supervisione strategica approva uno specifico documento in cui sono precisati compiti, responsabilita' e modalita' di coordinamento/collaborazione tra le varie funzioni di controllo coinvolte. E' stata, poi, introdotta una disciplina organica in materia di esternalizzazione. Le banche sono tenute a presidiare attentamente i rischi derivanti dall'esternalizzazione, mantenendo la capacita' di controllo e la responsabilita' delle attivita' esternalizzate nonche' le competenze essenziali per re-internalizzare le stesse in caso di necessita'. Disposizioni specifiche riguardano le condizioni per esternalizzare funzioni aziendali importanti o di controllo. Requisiti meno stringenti sono invece previsti nel caso di esternalizzazione all'interno di un gruppo bancario. Due specifici procedimenti amministrativi sono stati definiti per il divieto dell'esternalizzazione di funzioni operative importanti o di controllo, rispettivamente, al di fuori o all'interno del gruppo bancario (cfr. Sezioni IV e V); tali procedimenti integrano il Provvedimento del 25 giugno 2008, in materia di individuazione dei termini e delle unita' organizzative responsabili dei procedimenti amministrativi di competenza della Banca d'Italia. Il Capitolo 8 contiene la disciplina del sistema informativo che e' stata integralmente rivista, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Sono stati, tra l'altro, disciplinati: la governance e l'organizzazione del sistema informativo; la gestione del rischio informatico; i requisiti per assicurare la sicurezza informatica e il sistema di gestione dei dati. Le disposizioni, inoltre, prevedono che nella definizione dei presidi di sicurezza per l'accesso a sistemi e servizi critici tramite il canale internet trovino applicazione le Raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet. Il Capitolo 9 disciplina la materia della continuita' operativa, riorganizzando le disposizioni attualmente contenute in diverse fonti. Tra le novita' di maggiore rilievo, vi e' la formalizzazione del ruolo del CODISE, struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d'Italia. Inoltre, e' stato definito un processo di rapida escalation da incidente a emergenza in modo da assicurare che la dichiarazione dello stato di crisi avvenga nel minor tempo possibile dalla rilevazione dell'incidente. Il tempo complessivo di ripristino non dovra' superare le quattro ore, inclusi i tempi per le fasi di analisi, decisionali, intervento tecnico e verifica. Le presenti disposizioni sono state sottoposte a consultazione pubblica e ad analisi di impatto della regolamentazione. Nel sito internet della Banca d'Italia sono pubblicati il resoconto della consultazione, la relazione sull'analisi di impatto e le osservazioni pervenute nella fase di consultazione. Il presente aggiornamento entra in vigore il giorno di pubblicazione sul sito internet della Banca d'Italia. Le banche si conformano alle disposizioni contenute nel Capitolo 7 (Il sistema dei controlli interni) entro il 1° luglio 2014 (data di efficacia), fatto salvo quanto segue: - con riferimento alle funzioni aziendali di controllo di secondo livello (risk management e compliance), le banche si conformano entro il 1° luglio 2015 (data di efficacia) a quanto previsto dalla Sezione III, par. 1, lett. b), secondo alinea, secondo periodo («linee di riporto dei responsabili di tali funzioni»); - con riferimento all'esternalizzazione di funzioni aziendali (Sezioni IV e V), le banche adeguano i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall'entrata in vigore (1° luglio 2016). Le banche si conformano alle disposizioni contenute nel Capitolo 8 (Il sistema informativo), incluse le raccomandazioni della BCE in materia di sicurezza dei pagamenti in internet, entro il 1° febbraio 2015 (data di efficacia). Le banche adeguano i contratti di esternalizzazione del sistema informativo (Sezione VI) in essere alla data di entrata in vigore delle presenti disposizioni alla prima scadenza contrattuale e comunque entro tre anni dall'entrata in vigore (1° luglio 2016). Le banche si conformano alle disposizioni contenute nel Capitolo 9 (La continuita' operativa) entro il 1° luglio 2014 (data di efficacia). Entro il 31 dicembre 2013 i destinatari della presente disciplina inviano alla Banca d'Italia una relazione recante un'autovalutazione della propria situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis). La relazione indica altresi' le misure da adottare e la relativa scansione temporale per assicurare il pieno rispetto delle presenti disposizioni. Entro la stessa data, le banche comunicano alla Banca d'Italia i contratti di esternalizzazione in essere alla data di entrata in vigore delle presenti disposizioni e la relativa durata. Dalla data di efficacia delle norme contenute nei Capitoli 7 (Il sistema dei controlli interni), 8 (Il sistema informativo) e 9 (La continuita' operativa) sono abrogate le seguenti disposizioni: - Sistema dei controlli interni, compiti del collegio sindacale, contenute nelle «Istruzioni di vigilanza per le banche», Circolare n. 229 del 21 aprile 1999, Titolo IV, Capitolo 11, ad eccezione della Sezione V (Emissione e gestione di assegni bancari e postali); - Continuita' operativa in casi di emergenza (Comunicazione del luglio 2004, cfr. Bollettino di vigilanza n. 7 - luglio 2004); - La gestione e il controllo dei rischi. Ruolo degli organi aziendali, contenute nelle «Nuove disposizioni di vigilanza prudenziale per le banche», Circolare n. 263 del 27 dicembre 2006, Titolo I, Capitolo I, Parte Quarta; - Disposizioni di vigilanza - Requisiti particolari per la continuita' operativa dei processi a rilevanza sistemica (Comunicazione del marzo 2007, cfr. Bollettino di vigilanza n. 3 - marzo 2007); - Disposizioni di vigilanza - Esternalizzazione del trattamento del contante (Comunicazione del 7 maggio 2007), limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari; - Disposizioni di vigilanza - la funzione di conformita' (compliance) (Comunicazione del luglio 2007, cfr. Bollettino di vigilanza n. 7 - luglio 2007); - Comunicazione del 30 dicembre 2008 - Valutazione del merito di credito (cfr. Bollettino di vigilanza n. 12 - dicembre 2008), limitatamente agli aspetti concernenti le banche e le capogruppo di gruppi bancari. Il testo dell'aggiornamento e' disponibile sul sito informatico della Banca d'Italia all'indirizzo: http://www.bancaditalia.it/vigilanza/banche/normativa/disposizion i/vigprud. TITOLO V Capitolo 7 IL SISTEMA DEI CONTROLLI INTERNI Sezione I DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI 1. Premessa. Il sistema dei controlli interni e' un elemento fondamentale del complessivo sistema di governo delle banche; esso assicura che l'attivita' aziendale sia in linea con le strategie e le politiche aziendali e sia improntata a canoni di sana e prudente gestione. Le presenti disposizioni definiscono i principi e le linee guida cui il sistema dei controlli interni delle banche si deve uniformare; in quest'ambito, sono definiti i principi generali di organizzazione, indicati il ruolo e i compiti degli organi aziendali, delineate le caratteristiche e i compiti delle funzioni aziendali di controllo. La presente disciplina: - rappresenta la cornice generale del sistema dei controlli aziendali. In materia di istituti di vigilanza prudenziale, essa e' integrata e completata dalle specifiche disposizioni previste in materia (tecniche di attenuazione del rischio di credito ed operazioni di cartolarizzazione, processo ICAAP, informativa al pubblico, concentrazione dei rischi, gestione e controllo del rischio di liquidita', obbligazioni bancarie garantite, partecipazioni detenibili, attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati, ecc.). Inoltre, alle banche che utilizzano, a fini prudenziali, sistemi interni di misurazione dei rischi diversi da quelli di base o standardizzati, si applicano anche le norme in materia di organizzazione e controlli interni previste dai rispettivi capitoli; - forma parte integrante del complesso di norme concernenti gli assetti di governo e controllo delle banche, quali le disposizioni di natura organizzativa in materia di: governo societario; information and communication technology; assetti proprietari; requisiti degli esponenti aziendali; trasparenza e correttezza delle relazioni tra banche e clienti; attivita' e servizi di investimento (1) ; prevenzione dell'utilizzo degli intermediari e degli altri soggetti che svolgono attivita' finanziaria a fini di riciclaggio e di finanziamento del terrorismo; usura. I presidi relativi al sistema dei controlli interni devono coprire ogni tipologia di rischio aziendale. La responsabilita' primaria e' rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. L'articolazione dei compiti e delle responsabilita' degli organi e delle funzioni aziendali deve essere chiaramente definita. Le banche applicano le disposizioni secondo il principio di proporzionalita', cioe' tenuto conto della dimensione e complessita' operative, della natura dell'attivita' svolta, della tipologia dei servizi prestati. La Banca d'Italia, nell'ambito del processo di revisione e valutazione prudenziale, verifica la completezza, la adeguatezza, la funzionalita' (in termini di efficienza ed efficacia), la affidabilita' del sistema dei controlli interni delle banche. 2. Fonti normative. La materia e' regolata: - dalla direttiva del Parlamento europeo e del Consiglio 2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE; - dal Regolamento del Parlamento europeo e del Consiglio 2013/575/UE del 26 giugno 2013, relativo ai requisiti prudenziali per gli enti creditizi e le imprese di investimento e che modifica il regolamento (UE) n. 648/2012; - dai seguenti articoli del TUB: • art. 51, il quale prevede che le banche inviino alla Banca d'Italia, con le modalita' e i tempi da essa stabiliti, le segnalazioni periodiche nonche' ogni dato e documento richiesti; • art. 53, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa e contabile e controlli interni delle banche; • art. 67, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di impartire alla capogruppo di un gruppo bancario disposizioni concernenti il gruppo complessivamente considerato o i suoi componenti aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni; - dalla delibera del CICR del 2 agosto 1996, come modificata dalla delibera del 23 marzo 2004, in materia di organizzazione amministrativa e contabile e controlli interni delle banche e dei gruppi bancari; - dal decreto del Ministro dell'Economia e delle finanze, Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di compiti e poteri degli organi sociali delle banche e dei gruppi bancari; - dalla decisione della BCE del 16 settembre 2010, n. 14, relativa al controllo dell'autenticita' e dell'idoneita' delle banconote in euro e al loro ricircolo; Si tiene anche conto dei seguenti documenti pubblicati da istituzioni comunitarie e organismi internazionali: EBA/CEBS: «Guidelines on the Application of the Supervisory Review Process under Pillar 2», 25 gennaio 2006; «Guidelines on outsourcing», 14 dicembre 2006; «Guidelines on the management of operational risks in market-related activities», 12 ottobre 2010; «Guidelines on Internal Governance», 27 settembre 2011; Basel Committee on Banking Supervision: «Fair value measurement and modelling: An assessment of challenges and lessons learned from market stress», giugno 2008; «Principle for enhancing corporate governance», ottobre 2010; «The internal audit function in banks», giugno 2012; «Core Principles for Effective Banking Supervision», settembre 2012; Financial Stability Board: «Enhancing Market and Institutional Resilience», 7 aprile 2008; «Thematic Review on Risk Governance», 12 febbraio 2013; European Systemic Risk Board (ESRB): «Raccomandazione in materia di prestiti in valuta estera (ESRB/2011/1)», 21 settembre 2011. 3. Definizioni. Ai fini delle presenti disposizioni si intendono per: a) «organo con funzione di supervisione strategica»: l'organo aziendale a cui - ai sensi del codice civile o per disposizione statutaria - sono attribuite funzioni di indirizzo della gestione dell'impresa, mediante, tra l'altro, esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche; b) «organo con funzione di gestione»: l'organo aziendale o i componenti di esso a cui - ai sensi del codice civile o per disposizione statutaria - spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell'esercizio della funzione di supervisione strategica. Il direttore generale rappresenta il vertice della struttura interna e come tale partecipa alla funzione di gestione; c) «organo con funzione di controllo»: il collegio sindacale, il consiglio di sorveglianza o il comitato per il controllo sulla gestione; d) «organi aziendali»: il complesso degli organi con funzioni di supervisione strategica, di gestione e di controllo. La funzione di supervisione strategica e quella di gestione attengono, unitariamente, alla gestione dell'impresa e possono quindi essere incardinate nello stesso organo aziendale. Nei sistemi dualistico e monistico, in conformita' delle previsioni legislative, l'organo con funzione di controllo puo' svolgere anche quella di supervisione strategica; e) «funzione aziendale»: l'insieme dei compiti e delle responsabilita' assegnate per l'espletamento di una determinata fase dell'attivita' aziendale. Sulla base della rilevanza della fase svolta, la funzione e' incardinata presso una specifica unita' organizzativa; f) «funzione antiriciclaggio»: la funzione definita dal Provvedimento della Banca d'Italia del 10 marzo 2011 recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l'utilizzo degli intermediari e degli altri soggetti che svolgono attivita' finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell'art. 7 comma 2 del Decreto Legislativo 21 novembre 2007, n. 231, Capitolo II, Sezione I; g) «funzioni aziendali di controllo»: la funzione di conformita' alle norme (compliance), la funzione di controllo dei rischi (risk management function) e la funzione di revisione interna (internal audit) (2) ; h) «funzioni di controllo»: l'insieme delle funzioni che per disposizione legislativa, regolamentare, statutaria o di autoregolamentazione hanno compiti di controllo; i) «funzione operativa importante»: una funzione operativa per la quale risulta verificata almeno una delle seguenti condizioni: • un'anomalia nella sua esecuzione o la sua mancata esecuzione possono compromettere gravemente: a) i risultati finanziari, la solidita' o la continuita' dell'attivita' della banca; ovvero b) la capacita' della banca di conformarsi alle condizioni e agli obblighi derivanti dalla sua autorizzazione o agli obblighi previsti dalla disciplina di vigilanza; • riguarda attivita' sottoposte a riserva di legge; • riguarda processi operativi delle funzioni aziendali di controllo o ha un impatto significativo sulla gestione dei rischi aziendali; j) «processo di gestione dei rischi»: l'insieme delle regole, delle procedure, delle risorse (umane, tecnologiche e organizzative) e delle attivita' di controllo volte a identificare, misurare o valutare, monitorare, prevenire o attenuare nonche' comunicare ai livelli gerarchici appropriati tutti i rischi assunti o assumibili (3) nei diversi segmenti, a livello di portafoglio di impresa e di gruppo, cogliendone, in una logica integrata, anche le interrelazioni reciproche e con l'evoluzione del contesto esterno; k) «risk appetite framerwork» - «RAF» (sistema degli obiettivi di rischio): il quadro di riferimento che definisce - in coerenza con il massimo rischio assumibile, il business model e il piano strategico - la propensione al rischio, le soglie di tolleranza, i limiti di rischio, le politiche di governo dei rischi, i processi di riferimento necessari per definirli e attuarli (cfr. Allegato C). Si forniscono, di seguito, le definizioni dei concetti rilevanti ai fini del RAF: • risk capacity (massimo rischio assumibile): il livello massimo di rischio che una banca e' tecnicamente in grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall'autorita' di vigilanza; • risk appetite (obiettivo di rischio o propensione al rischio): il livello di rischio (complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici; • risk tolerance (soglia di tollerenza): la devianza massima dal risk appetite consentita; la soglia di tolleranza e' fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile. Nel caso in cui sia consentita l'assunzione di rischio oltre l'obiettivo di rischio fissato, fermo restando il rispetto della soglia di tolleranza, sono individuate le azioni gestionali necessarie per ricondurre il rischio assunto entro l'obiettivo prestabilito; • risk profile (rischio effettivo): il rischio effettivamente assunto, misurato in un determinato istante temporale; • risk limits (limiti di rischio): l'articolazione degli obiettivi di rischio in limiti operativi, definiti, in linea con il principio di proporzionalita', per tipologie di rischio, unita' e o linee di business, linee di prodotto, tipologie di clienti; l) «esternalizzazione»: l'accordo in qualsiasi forma tra una banca e un fornitore di servizi in base al quale il fornitore realizza un processo, un servizio o un'attivita' della stessa banca. 4. Destinatari della disciplina. Le presenti disposizioni si applicano, secondo quanto stabilito nel Titolo I, Capitolo 1, Parte Seconda: - alle banche autorizzate in Italia, ad eccezione delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d'Italia (4) ; - alle capogruppo di gruppi bancari; - alle imprese di riferimento, secondo quanto previsto dalla Sezione VI; - alle succursali di banche comunitarie e alle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla Banca d'Italia, secondo quanto previsto dalla Sezione VII. 5. Unita' organizzative responsabili dei procedimenti amministrativi. Si indicano di seguito le unita' organizzative responsabili dei procedimenti amministrativi di cui al presente Capitolo, ai sensi dell'art. 9 del Regolamento della Banca d'Italia del 25 giugno 2008: - divieto dell'esternalizzazione di funzioni operative importanti o di controllo: Servizio Supervisione gruppi bancari, Servizio Supervisione intermediari specializzati, Filiale competente per territorio; - divieto dell'esternalizzazione di funzioni operative importanti o di controllo nell'ambito del gruppo di appartenenza: Servizio Supervisione gruppi bancari, Servizio Supervisione intermediari specializzati, Filiale competente per territorio. 6. Principi generali. Il sistema dei controlli interni e' costituito dall'insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalita': - verifica dell'attuazione delle strategie e delle politiche aziendali; - contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework - «RAF») (cfr. Allegato C); - salvaguardia del valore delle attivita' e protezione dalle perdite; - efficacia ed efficienza dei processi aziendali; - affidabilita' e sicurezza delle informazioni aziendali e delle procedure informatiche (5) ; - prevenzione del rischio che la banca sia coinvolta, anche involontariamente, in attivita' illecite (con particolare riferimento a quelle connesse con il riciclaggio, l'usura ed il finanziamento al terrorismo); - conformita' delle operazioni con la legge e la normativa di vigilanza, nonche' con le politiche, i regolamenti e le procedure interne. Il sistema dei controlli interni riveste un ruolo centrale nell'organizzazione aziendale: rappresenta un elemento fondamentale di conoscenza per gli organi aziendali in modo da garantire piena consapevolezza della situazione ed efficace presidio dei rischi aziendali e delle loro interrelazioni; orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo; presidia la funzionalita' dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale; favorisce la diffusione di una corretta cultura dei rischi, della legalita' e dei valori aziendali. Per queste caratteristiche, il sistema dei controlli interni ha rilievo strategico; la cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l'organizzazione aziendale (organi aziendali, strutture, livelli gerarchici, personale), nello sviluppo e nell'applicazione di metodi, logici e sistematici, per identificare, misurare, comunicare, gestire i rischi. Per poter realizzare questo obiettivo, il sistema dei controlli interni deve in generale: - assicurare la completezza, l'adeguatezza, la funzionalita' (in termini di efficienza ed efficacia), l'affidabilita' del processo di gestione dei rischi e la sua coerenza con il RAF; - prevedere attivita' di controllo diffuse a ogni segmento operativo e livello gerarchico (6) ; - garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di livelli appropriati dell'impresa (agli organi aziendali, se significative) in grado di attivare tempestivamente gli opportuni interventi correttivi; - incorporare specifiche procedure per far fronte all'eventuale violazione di limiti operativi. A prescindere dalle strutture dove sono collocate, si possono individuare le seguenti tipologie di controllo: - controlli di linea (c.d. «controlli di primo livello»), diretti ad assicurare il corretto svolgimento delle operazioni. Essi sono effettuati dalle stesse strutture operative (ad es., controlli di tipo gerarchico, sistematici e a campione), anche attraverso unita' dedicate esclusivamente a compiti di controllo che riportano ai responsabili delle strutture operative, ovvero eseguiti nell'ambito del back office; per quanto possibile, essi sono incorporati nelle procedure informatiche. Le strutture operative sono le prime responsabili del processo di gestione dei rischi: nel corso dell'operativita' giornaliera tali strutture devono identificare, misurare o valutare, monitorare, attenuare e riportare i rischi derivanti dall'ordinaria attivita' aziendale in conformita' con il processo di gestione dei rischi; esse devono rispettare i limiti operativi loro assegnati coerentemente con gli obiettivi di rischio e con le procedure in cui si articola il processo di gestione dei rischi; - controlli sui rischi e sulla conformita' (c.d. «controlli di secondo livello»), che hanno l'obiettivo di assicurare, tra l'altro: a) la corretta attuazione del processo di gestione dei rischi; b) il rispetto dei limiti operativi assegnati alle varie funzioni; c) la conformita' dell'operativita' aziendale alle norme, incluse quelle di autoregolamentazione. Le funzioni preposte a tali controlli sono distinte da quelle produttive; esse concorrono alla definizione delle politiche di governo dei rischi e del processo di gestione dei rischi; - revisione interna (c.d. «controlli di terzo livello»), volta a individuare violazioni delle procedure e della regolamentazione nonche' a valutare periodicamente la completezza, l'adeguatezza, la funzionalita' (in termini di efficienza ed efficacia) e l'affidabilita' del sistema dei controlli interni e del sistema informativo (ICT audit), con cadenza prefissata in relazione alla natura e all'intensita' dei rischi. Presupposto di un sistema dei controlli interni completo e funzionale e' l'esistenza di una organizzazione aziendale adeguata per assicurare la sana e prudente gestione delle banche e l'osservanza delle disposizioni loro applicabili. A tal fine, rileva, in primo luogo, il corretto funzionamento del governo societario, le cui caratteristiche devono essere in linea con quanto previsto nelle disposizioni di vigilanza in materia di organizzazione e governo societario delle banche (7) . Inoltre, le banche rispettano i seguenti principi generali di organizzazione: - i processi decisionali e l'affidamento di funzioni al personale sono formalizzati e consentono l'univoca individuazione di compiti e responsabilita' e sono idonei a prevenire i conflitti di interessi. In tale ambito, deve essere assicurata la necessaria separatezza tra le funzioni operative e quelle di controllo; - le politiche e le procedure di gestione delle risorse umane assicurano che il personale sia provvisto delle competenze e della professionalita' necessarie per l'esercizio delle responsabilita' a esso attribuite; - il processo di gestione dei rischi e' efficacemente integrato. Sono considerati parametri di integrazione, riportati a titolo esemplificativo e non esaustivo: la diffusione di un linguaggio comune nella gestione dei rischi a tutti i livelli della banca; l'adozione di metodi e strumenti di rilevazione e valutazione tra di loro coerenti (ad es., un'unica tassonomia dei processi e un'unica mappa dei rischi); la definizione di modelli di reportistica dei rischi, al fine di favorirne la comprensione e la corretta valutazione, anche in una logica integrata; l'individuazione di momenti formalizzati di coordinamento ai fini della pianificazione delle rispettive attivita'; la previsione di flussi informativi su base continuativa tra le diverse funzioni in relazione ai risultati delle attivita' di controllo di propria pertinenza; la condivisione nella individuazione delle azioni di rimedio; - i processi e le metodologie di valutazione, anche a fini contabili, delle attivita' aziendali sono affidabili e integrati con il processo di gestione del rischio. A tal fine: la definizione e la convalida delle metodologie di valutazione sono affidate a unita' differenti; le metodologie di valutazione sono robuste, testate sotto scenari di stress e non fanno affidamento eccessivo su un'unica fonte informativa; la valutazione di uno strumento finanziario e' affidata a un'unita' indipendente rispetto a quella che negozia detto strumento; - le procedure operative e di controllo devono: minimizzare i rischi legati a frodi o infedelta' dei dipendenti; prevenire o, laddove non sia possibile, attenuare i potenziali conflitti d'interesse; prevenire il coinvolgimento, anche inconsapevole, in fatti di riciclaggio, usura o di finanziamento al terrorismo; - il sistema informativo rispetta la disciplina del Capitolo 8 (Il sistema informativo); - i livelli di continuita' operativa garantiti sono adeguati e conformi a quanto stabilito dal Capitolo 9 (La continuita' operativa). Le banche verificano regolarmente, con frequenza almeno annuale, il grado di aderenza ai requisiti del sistema dei controlli interni e dell'organizzazione e adottano le misure adeguate per rimediare a eventuali carenze. Sezione II IL RUOLO DEGLI ORGANI AZIENDALI 1. Premessa. Le banche assicurano la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' del sistema dei controlli interni. In tale ambito, formalizzano il quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework - «RAF»), le politiche di governo dei rischi, il processo di gestione dei rischi, ne assicurano l'applicazione e procedono al loro riesame periodico per garantirne l'efficacia nel tempo. La responsabilita' primaria e' rimessa agli organi aziendali, ciascuno secondo le rispettive competenze. Nei successivi paragrafi si forniscono indicazioni minime circa il ruolo di ciascun organo aziendale nell'ambito del sistema dei controlli interni, anche al fine di chiarire i relativi compiti e responsabilita'. Tali indicazioni non esauriscono, pertanto, le cautele che possono essere adottate dai competenti organi aziendali nell'ambito della loro autonomia gestionale. 2. Organo con funzione di supervisione strategica. L'organo con funzione di supervisione strategica: - definisce e approva: a) il modello di business avendo consapevolezza dei rischi cui tale modello espone la banca e comprensione delle modalita' attraverso le quali i rischi sono rilevati e valutati; b) gli indirizzi strategici e provvede al loro riesame periodico, in relazione all'evoluzione dell'attivita' aziendale e del contesto esterno, al fine di assicurarne l'efficacia nel tempo; c) gli obiettivi di rischio, la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi; d) le linee di indirizzo del sistema dei controlli interni, verificando che esso sia coerente con gli indirizzi strategici e la propensione al rischio stabiliti nonche' sia in grado di cogliere l'evoluzione dei rischi aziendali e l'interazione tra gli stessi; e) i criteri per individuare le operazioni di maggiore rilievo da sottoporre al vaglio preventivo della funzione di controllo dei rischi (cfr. Sezione III, par. 3.3.); - approva: a) la costituzione delle funzioni aziendali di controllo, i relativi compiti e responsabilita', le modalita' di coordinamento e collaborazione, i flussi informativi tra tali funzioni e tra queste e gli organi aziendali (cfr. anche par. 5); b) il processo di gestione del rischio e ne valuta la compatibilita' con gli indirizzi strategici e le politiche di governo dei rischi; c) le politiche e i processi di valutazione delle attivita' aziendali, e, in particolare, degli strumenti finanziari, verificandone la costante adeguatezza; stabilisce altresi' i limiti massimi all'esposizione della banca verso strumenti o prodotti finanziari di incerta o difficile valutazione; d) il processo per lo sviluppo e la convalida dei sistemi interni di misurazione dei rischi non utilizzati a fini regolamentari (8) (9) e ne valuta periodicamente il corretto funzionamento; e) il processo per l'approvazione di nuovi prodotti e servizi, l'avvio di nuove attivita', l'inserimento in nuovi mercati; f) la politica aziendale in materia di esternalizzazione di funzioni aziendali (cfr. Sezioni IV e V); g) al fine di attenuare i rischi operativi e di reputazione della banca e favorire la diffusione di una cultura dei controlli interni, un codice etico cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti. Il codice definisce i principi di condotta (ad es., regole deontologiche e regole da osservare nei rapporti con i clienti) a cui deve essere improntata l'attivita' aziendale; - assicura che: a) la struttura della banca sia coerente con l'attivita' svolta e con il modello di business adottato, evitando la creazione di strutture complesse non giustificate da finalita' operative; b) il sistema dei controlli interni e l'organizzazione aziendale siano costantemente uniformati ai principi indicati nella Sezione I e che le funzioni aziendali di controllo possiedano i requisiti e rispettino le previsioni della Sezione III. Nel caso emergano carenze o anomalie, promuove con tempestivita' l'adozione di idonee misure correttive e ne valuta l'efficacia; c) l'attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza (ove identificata) approvati; valuta periodicamente l'adeguatezza e l'efficacia del RAF e la compatibilita' tra il rischio effettivo e gli obiettivi di rischio; d) il piano strategico, il RAF, l'ICAAP, i budget e il sistema dei controlli interni siano coerenti, avuta anche presente l'evoluzione delle condizioni interne ed esterne in cui opera la banca; e) la quantita' e l'allocazione del capitale e della liquidita' detenuti siano coerenti con la propensione al rischio, le politiche di governo dei rischi e il processo di gestione dei rischi; - nel caso in cui la banca operi in giurisdizioni poco trasparenti o attraverso strutture particolarmente complesse, valuta i relativi rischi operativi, in particolare di natura legale, reputazionali e finanziari, individua i presidi per attenuarli e ne assicura il controllo effettivo; - con cadenza almeno annuale, approva il programma di attivita', compreso il piano di audit predisposto dalla funzione di revisione interna (cfr. Sezione III, par. 2), ed esamina le relazioni annuali predisposte dalle funzioni aziendali di controllo. Approva altresi' il piano di audit pluriennale. Si indicano, infine, i compiti dell'organo con funzione di supervisione strategica con riguardo a taluni profili specifici: - con riferimento al processo ICAAP, definisce e approva le linee generali del processo, ne assicura la coerenza con il RAF e l'adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell'assetto organizzativo, del contesto operativo di riferimento; promuove il pieno utilizzo delle risultanze dell'ICAAP a fini strategici e nelle decisioni d'impresa; - riguardo ai rischi di credito e di controparte, approva le linee generali del sistema di gestione delle tecniche di attenuazione del rischio che presiede all'intero processo di acquisizione, valutazione, controllo e realizzo degli strumenti di attenuazione del rischio utilizzati. Nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di supervisione strategica svolge anche i seguenti compiti: - approva l'adozione dei suddetti sistemi. In particolare, approva la scelta del sistema ritenuto idoneo e il relativo progetto in cui sono pianificate le attivita' connesse con la sua predisposizione e messa in opera, individuate le responsabilita', definiti i tempi di realizzazione, determinati gli investimenti previsti in termini di risorse umane, finanziarie e tecnologiche; - verifica periodicamente che le scelte effettuate mantengano nel tempo la loro validita', approvando i cambiamenti sostanziali al sistema e provvedendo alla complessiva supervisione sul corretto funzionamento dello stesso; - vigila, con il supporto delle competenti funzioni, sull'effettivo utilizzo dei sistemi interni a fini gestionali (use test) e sulla loro rispondenza agli altri requisiti previsti dalla normativa; - con cadenza almeno annuale, esamina i riferimenti forniti dalla funzione di convalida e assume, col parere dell'organo con funzione di controllo, formale delibera con la quale attesta il rispetto dei requisiti previsti per l'utilizzo dei sistemi. 3. Organo con funzione di gestione. L'organo con funzione di gestione ha la comprensione di tutti i rischi aziendali, inclusi i possibili rischi di malfunzionamento dei sistemi interni di misurazione (c.d. «rischio di modello»), e, nell'ambito di una gestione integrata, delle loro interrelazioni reciproche e con l'evoluzione del contesto esterno. In tale ambito, e' in grado di individuare e valutare i fattori, inclusa la complessita' della struttura organizzativa, da cui possono scaturire rischi per la banca. Tale organo cura l'attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall'organo con funzione di supervisione strategica ed e' responsabile per l'adozione di tutti gli interventi necessari ad assicurare l'aderenza dell'organizzazione e del sistema dei controlli interni ai principi e requisiti di cui alle Sezioni I e III, monitorandone nel continuo il rispetto. In particolare, l'organo con funzione di gestione: - definisce e cura l'attuazione del processo di gestione dei rischi. In tale ambito: a) stabilisce limiti operativi all'assunzione delle varie tipologie di rischio, coerenti con la propensione al rischio, tenendo esplicitamente conto dei risultati delle prove di stress e dell'evoluzione del quadro economico. Inoltre, nell'ambito della gestione dei rischi, limita l'affidamento sui rating esterni, assicurando che, per ciascuna tipologia di rischio, siano condotte adeguate e autonome analisi interne; b) agevola lo sviluppo e la diffusione a tutti i livelli di una cultura del rischio integrata in relazione alle diverse tipologie di rischi ed estesa a tutta la banca. In particolare, sono sviluppati e attuati programmi di formazione per sensibilizzare i dipendenti in merito alle responsabilita' in materia di rischi in modo da non confinare il processo di gestione del rischio agli specialisti o alle funzioni di controllo; c) stabilisce le responsabilita' delle strutture e delle funzioni aziendali coinvolte nel processo di gestione dei rischi, in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti d'interessi; assicura, altresi', che le attivita' rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio e in possesso di esperienze e conoscenze adeguate ai compiti da svolgere; d) esamina le operazioni di maggior rilievo oggetto di parere negativo da parte della funzione di controllo dei rischi e, se del caso, le autorizza (cfr. Sezione III, par. 3.3.); di tali operazioni informa l'organo con funzione di supervisione strategica e l'organo con funzione di controllo; - definisce e cura l'attuazione del processo (responsabili, procedure, condizioni) per approvare gli investimenti in nuovi prodotti, la distribuzione di nuovi prodotti o servizi ovvero l'avvio di nuove attivita' o l'ingresso in nuovi mercati. Il processo: a) assicura che vengano pienamente valutati i rischi derivanti dalla nuova operativita', che detti rischi siano coerenti con la propensione al rischio e che la banca sia in grado di gestirli; b) definisce le fasce di clientela a cui si intendono distribuire nuovi prodotti o servizi in relazione alla complessita' degli stessi e a eventuali vincoli normativi esistenti; c) consente di stimare gli impatti della nuova operativita' in termini di costi, ricavi, risorse (umane, organizzative e tecnologiche) nonche' di valutare gli impatti sulle procedure amministrative e contabili della banca; d) individua le eventuali modifiche da apportare al sistema dei controlli interni; - definisce e cura l'attuazione della politica aziendale in materia di esternalizzazione di funzioni aziendali (cfr. Sezioni IV e V); - definisce e cura l'attuazione dei processi e delle metodologie di valutazione delle attivita' aziendali, e, in particolare, degli strumenti finanziari; ne cura il loro costante aggiornamento; - definisce i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilita' dei fattori di rischio e la verifica del rispetto del RAF; - nell'ambito del RAF, se e' stata definita la soglia di tolleranza, autorizza il superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e provvede a darne pronta informativa all'organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l'obiettivo prestabilito; - pone in essere le iniziative e gli interventi necessari per garantire nel continuo la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' del sistema dei controlli interni e porta i risultati delle verifiche effettuate a conoscenza dell'organo con funzione di supervisione strategica; - predispone e attua i necessari interventi correttivi o di adeguamento nel caso emergano carenze o anomalie, o a seguito dell'introduzione di nuovi prodotti, attivita', servizi o processi rilevanti; - assicura: a) la coerenza del processo di gestione dei rischi con la propensione al rischio e le politiche di governo dei rischi, avuta anche presente l'evoluzione delle condizioni interne ed esterne in cui opera la banca; b) una corretta, tempestiva e sicura gestione delle informazioni a fini contabili, gestionali e di reporting. Si indicano, infine, i compiti dell'organo con funzione di gestione con riguardo a taluni profili specifici: - con riferimento al processo ICAAP, da' attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e la RAF e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le responsabilita' assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse competenti, sufficienti sotto il profilo quantitativo, collocate in posizione gerarchica adeguata a far rispettare la pianificazione; sia parte integrante dell'attivita' gestionale; - con specifico riferimento ai rischi di credito e di controparte, in linea con gli indirizzi strategici, approva specifiche linee guida volte ad assicurare l'efficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti generali e specifici di tali tecniche. Nel caso di banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di gestione svolge anche i seguenti compiti: - e' responsabile dell'impianto e del funzionamento del sistema prescelto; per svolgere tale compito i componenti dell'organo possiedono un'adeguata conoscenza degli aspetti rilevanti; - impartisce le disposizioni necessarie affinche' il sistema prescelto sia realizzato secondo le linee strategiche individuate, assegnando compiti e responsabilita' alle diverse funzioni aziendali e assicurando la formalizzazione e la documentazione delle fasi del processo di gestione del rischio; - cura che i sistemi di misurazione dei rischi siano integrati nei processi decisionali e nella gestione dell'operativita' aziendale (use test); - tiene conto, nello svolgimento dei compiti assegnati, delle osservazioni emerse a seguito del processo di convalida e delle verifiche condotte dalla revisione interna. 4. Organo con funzione di controllo. L'organo con funzione di controllo ha la responsabilita' di vigilare sulla completezza, adeguatezza, funzionalita' e affidabilita' del sistema dei controlli interni e del RAF. Nell'espletamento di tale compito, l'organo con funzione di controllo vigila sul rispetto delle previsioni di cui i) alla presente Sezione, ii) alle Sezioni I e III e iii) al processo ICAAP. Per lo svolgimento delle proprie attribuzioni, tale organo dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo. L'organo con funzione di controllo svolge, di norma, le funzioni dell'organismo di vigilanza - eventualmente istituito ai sensi del d.lgs. n. 231/2001, in materia di responsabilita' amministrativa degli enti - che vigila sul funzionamento e l'osservanza dei modelli di organizzazione e di gestione di cui si dota la banca per prevenire i reati rilevanti ai fini del medesimo decreto legislativo (10) . Le banche possono affidare tali funzioni a un organismo appositamente istituito dandone adeguata motivazione. Considerata la pluralita' di funzioni aventi, all'interno dell'azienda, compiti e responsabilita' di controllo, l'organo con funzione di controllo e' tenuto ad accertare l'adeguatezza di tutte le funzioni coinvolte nel sistema dei controlli, il corretto assolvimento dei compiti e l'adeguato coordinamento delle medesime, promuovendo gli interventi correttivi delle carenze e delle irregolarita' rilevate (11) . Nelle banche che adottano sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali, l'organo con funzione di controllo, avvalendosi dell'apporto delle funzioni aziendali di controllo, vigila - nell'ambito della piu' generale attivita' di verifica del processo di gestione dei rischi - sulla completezza, adeguatezza, funzionalita', affidabilita', dei sistemi stessi e sulla loro rispondenza ai requisiti previsti dalla normativa. 5. Il coordinamento delle funzioni di controllo. Il corretto funzionamento del sistema dei controlli interni si basa sulla proficua interazione nell'esercizio dei compiti (d'indirizzo, di attuazione, di verifica, di valutazione) fra gli organi aziendali, gli eventuali comitati costituiti all'interno di questi ultimi (12) , i soggetti incaricati della revisione legale dei conti, le funzioni di controllo. L'ordinamento e le fonti di autoregolamentazione attribuiscono, poi, compiti di controllo a specifiche funzioni - diverse dalle funzioni aziendali di controllo - o a comitati interni all'organo amministrativo, la cui attivita' va inquadrata in modo coerente nel sistema dei controlli interni. In particolare, rilevano: - l'organismo di vigilanza eventualmente istituito ai sensi del d.lgs. n. 231/2001; - per le banche con azioni quotate, il dirigente preposto alla redazione dei documenti contabili societari (art. 154-bis del TUF), il quale, tra l'altro, ha il compito di stabilire adeguate procedure amministrative e contabili per la predisposizione del bilancio e di ogni altra comunicazione di carattere finanziario. Inoltre, il Codice di autodisciplina della Borsa Italiana, a cui le banche quotate possono aderire su base volontaria, introduce principi e criteri applicativi riguardo al sistema di controllo interno e di gestione dei rischi, che prevedono, tra l'altro, la designazione di uno o piu' amministratori incaricati del sistema di controllo interno e di gestione dei rischi e l'istituzione, in seno all'organo amministrativo, di un comitato controllo e rischi. Per assicurare una corretta interazione tra tutte le funzioni e organi con compiti di controllo, evitando sovrapposizioni o lacune, l'organo con funzione di supervisione strategica approva un documento, diffuso a tutte le strutture interessate, nel quale sono definiti i compiti e le responsabilita' dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e tra queste/i e gli organi aziendali e, nel caso in cui gli ambiti di controllo presentino aree di potenziale sovrapposizione o permettano di sviluppare sinergie, le modalita' di coordinamento e di collaborazione. A titolo esemplificativo, nell'attivita' dell'organismo di vigilanza, che attiene in generale all'adempimento di leggi e regolamenti, puo' essere proficuo uno stretto raccordo, in termini sia di suddivisione di attivita' che di condivisione di informazioni, con le funzioni di conformita' alle norme e di revisione interna. Nel definire le modalita' di raccordo, ferme restando le attribuzioni previste dalla legge per le funzioni di controllo, le banche prestano attenzione a non alterare, anche nella sostanza, le responsabilita' primarie degli organi aziendali sul sistema dei controlli interni. Sezione III FUNZIONI AZIENDALI DI CONTROLLO 1. Istituzione delle funzioni aziendali di controllo. Ferma restando l'autonoma responsabilita' aziendale per le scelte effettuate in materia di assetto dei controlli interni, le banche istituiscono, secondo quanto di seguito indicato, funzioni aziendali di controllo permanenti e indipendenti: i) di conformita' alle norme (compliance); ii) di controllo dei rischi (risk management); iii) di revisione interna (internal audit). Le prime due funzioni attengono ai controlli di secondo livello, la revisione interna ai controlli di terzo livello. Per assicurare l'indipendenza delle funzioni aziendali di controllo: a) tali funzioni dispongono dell'autorita', delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti. Alle funzioni e' consentito di avere accesso ai dati aziendali e a quelli esterni necessari per svolgere in modo appropriato i propri compiti. Le risorse economiche, eventualmente attivabili in autonomia, permettono, tra l'altro, alle funzioni aziendali di controllo di ricorrere a consulenze esterne. Il personale e' adeguato per numero, competenze tecnico-professionali, aggiornamento, anche attraverso l'inserimento di programmi di formazione nel continuo. Al fine di garantire la formazione di competenze trasversali e di acquisire una visione complessiva e integrata dell'attivita' di controllo svolta dalla funzione, la banca formalizza e incentiva programmi di rotazione delle risorse, tra le funzioni aziendali di controllo; b) i responsabili: • possiedono requisiti di professionalita' adeguati; • sono collocati in posizione gerarchico-funzionale adeguata. In particolare, i responsabili delle funzioni di controllo dei rischi e di conformita' alle norme sono collocati alle dirette dipendenze dell'organo con funzione di gestione o dell'organo con funzione di supervisione strategica; il responsabile della funzione di revisione interna e' collocato sempre alle dirette dipendenze dell'organo con funzione di supervisione strategica; • non hanno responsabilita' diretta di aree operative sottoposte a controllo ne' sono gerarchicamente subordinati ai responsabili di tali aree; • sono nominati e revocati (motivandone le ragioni) dall'organo con funzione di supervisione strategica, sentito l'organo con funzione di controllo (13) . Il responsabile di funzioni aziendali di controllo puo' essere un componente dell'organo amministrativo, purche' sia destinatario di specifiche deleghe in materia di controlli e non sia destinatario di altre deleghe che ne pregiudichino l'autonomia; • riferiscono direttamente agli organi aziendali. In particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformita' alle norme hanno, in ogni caso, accesso diretto all'organo con funzione di supervisione strategica e all'organo con funzione di controllo e comunicano con essi senza restrizioni o intermediazioni; il responsabile della funzione di revisione interna ha accesso diretto all'organo con funzione di controllo e comunica con esso senza restrizioni o intermediazioni; c) il personale che partecipa alle funzioni aziendali di controllo non e' coinvolto in attivita' che tali funzioni sono chiamate a controllare. Nel rispetto di tale principio, nelle banche di dimensioni contenute o caratterizzate da una limitata complessita' operativa, il personale incaricato di compiti attinenti al controllo di conformita' alle norme o al controllo dei rischi, qualora non sia inserito nelle relative funzioni aziendali di controllo, puo' essere integrato in aree operative diverse; in questi casi, tale personale riferisce direttamente ai responsabili delle funzioni aziendali di controllo per le questioni attinenti ai compiti di tali funzioni; d) le funzioni aziendali di controllo sono tra loro separate, sotto un profilo organizzativo. I rispettivi ruoli e responsabilita' sono formalizzati; e) i criteri di remunerazione del personale che partecipa alle funzioni aziendali di controllo non ne compromettono l'obiettivita' e concorrono a creare un sistema di incentivi coerente con le finalita' della funzione svolta (14) . Se coerente con il principio di proporzionalita', le banche possono, a condizione che i controlli sulle diverse tipologie di rischio continuino ad essere efficaci: - affidare a un'unica struttura lo svolgimento della funzione di conformita' alle norme e della funzione di controllo dei rischi; - affidare lo svolgimento delle funzioni aziendali di controllo all'esterno, secondo quanto previsto dalle disposizioni in materia di esternalizzazione previste nella Sezione IV e, per quanto riguarda l'esternalizzazione all'interno dei gruppi bancari, nella Sezione V. Tenuto conto che le funzioni di conformita' alle norme e di controllo dei rischi devono essere sottoposte a verifica periodica da parte della funzione di revisione interna (controllo di terzo livello), per assicurare l'imparzialita' delle verifiche, le funzioni di conformita' alle norme e di gestione dei rischi non possono essere affidate alla funzione di revisione interna. 2. Programmazione e rendicontazione dell'attivita' di controllo. Per ciascuna funzione aziendale di controllo, la regolamentazione interna indica responsabilita', compiti, modalita' operative, flussi informativi, programmazione dell'attivita' di controllo. In particolare: - le funzioni di conformita' alle norme e di controllo dei rischi presentano annualmente agli organi aziendali, ciascuna in base alle rispettive competenze, un programma di attivita', in cui sono identificati e valutati i principali rischi a cui la banca e' esposta e sono programmati i relativi interventi di gestione. La programmazione degli interventi tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati; - la funzione di revisione interna presenta annualmente agli organi aziendali un piano di audit, che indica le attivita' di controllo pianificate, tenuto conto dei rischi delle varie attivita' e strutture aziendali; il piano contiene una specifica sezione relativa all'attivita' di revisione del sistema informativo (ICT auditing). Al termine del ciclo gestionale, con cadenza quindi annuale, le funzioni aziendali di controllo: - presentano agli organi aziendali una relazione dell'attivita' svolta, che illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati e propongono gli interventi da adottare per la loro rimozione; - riferiscono, ciascuna per gli aspetti di rispettiva competenza, in ordine alla completezza, adeguatezza, funzionalita' e affidabilita' del sistema dei controlli interni. In ogni caso, le funzioni aziendali di controllo informano tempestivamente gli organi aziendali su ogni violazione o carenza rilevante riscontrate (ad es., violazioni che possono comportare un alto rischio di sanzioni regolamentari o legali, perdite finanziarie di rilievo o significativi impatti sulla situazione finanziaria o patrimoniale, danni di reputazione, malfunzionamenti di procedure informatiche critiche). 3. Requisiti specifici delle funzioni aziendali di controllo. 3.1. Premessa. Nei paragrafi seguenti si stabiliscono, in via generale, le responsabilita' e i principali compiti di ciascuna delle funzioni aziendali di controllo (15) . Indicazioni piu' specifiche concernenti le responsabilita' e i compiti di tali funzioni relativamente a ciascuna singola categoria di rischio, ambiti operativi o attivita' particolari sono riportate nelle relative discipline (cfr. Sezione I, par. 1). 3.2. Funzione di conformita' alle norme (compliance). Il rischio di non conformita' alle norme e' il rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative (leggi, regolamenti) ovvero di autoregolamentazione (ad es., statuti, codici di condotta, codici di autodisciplina). Poiche' il rischio di non conformita' alle norme e' diffuso a tutti livelli dell'organizzazione aziendale, soprattutto nell'ambito delle linee operative, l'attivita' di prevenzione deve svolgersi in primo luogo dove il rischio viene generato: e' pertanto necessaria un'adeguata responsabilizzazione di tutto il personale. La funzione di conformita' alle norme presiede, secondo un approccio risk based, alla gestione del rischio di non conformita' con riguardo a tutta l'attivita' aziendale, verificando che le procedure interne siano adeguate a prevenire tale rischio. A tal fine, e' necessario che la funzione di conformita' alle norme abbia accesso a tutte le attivita' della banca, centrali e periferiche, e a qualsiasi informazione a tal fine rilevante, anche attraverso il colloquio diretto con il personale. I principali adempimenti che la funzione di conformita' alle norme e' chiamata a svolgere sono: - l'ausilio alle strutture aziendali per la definizione delle metodologie di valutazione dei rischi di non conformita' alle norme; - l'individuazione di idonee procedure per la prevenzione del rischio rilevato, con possibilita' di richiederne l'adozione; la verifica della loro adeguatezza e corretta applicazione; - l'identificazione nel continuo delle norme applicabili alla banca e la misurazione/valutazione del loro impatto su processi e procedure aziendali; - la proposta di modifiche organizzative e procedurali finalizzate ad assicurare un adeguato presidio dei rischi di non conformita' identificati; - la predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (ad es.: gestione del rischio operativo e revisione interna); - la verifica dell'efficacia degli adeguamenti organizzativi (strutture, processi, procedure anche operative e commerciali) suggeriti per la prevenzione del rischio di non conformita' alle norme. Per le norme piu' rilevanti ai fini del rischio di non conformita', quali quelle che riguardano l'esercizio dell'attivita' bancaria e di intermediazione, la gestione dei conflitti di interesse, la trasparenza nei confronti della clientela e, piu' in generale, la disciplina posta a tutela del consumatore, e per quelle norme per le quali non siano gia' previste forme di presidio specializzato all'interno della banca, la funzione e' direttamente responsabile della gestione del rischio di non conformita'. Con riferimento ad altre normative per le quali siano gia' previste forme specifiche di presidio specializzato (ad es.: normativa sulla sicurezza sul lavoro, in materia di trattamento dei dati personali), la banca, in base a una valutazione dell'adeguatezza dei controlli specialistici a gestire i profili di rischio di non conformita', puo' graduare i compiti della compliance, che comunque e' responsabile, in collaborazione con le funzioni specialistiche incaricate, almeno della definizione delle metodologie di valutazione del rischio di non conformita' e della individuazione delle relative procedure, e procede alla verifica dell'adeguatezza delle procedure medesime a prevenire il rischio di non conformita'. La banca puo' adottare tale approccio anche con riferimento al presidio del rischio di non conformita' alle normative di natura fiscale (16) , che richiede almeno: (i) la definizione di procedure (17) volte a prevenire violazioni o elusioni di tale normativa e ad attenuare i rischi connessi a situazioni che potrebbero integrare fattispecie di abuso del diritto, in modo da minimizzare le conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non corretta applicazione della normativa fiscale; (ii) la verifica dell'adeguatezza di tali procedure e della loro idoneita' a realizzare effettivamente l'obiettivo di prevenire il rischio di non conformita'. Ferme restando le responsabilita' della funzione di compliance per l'espletamento dei compiti previsti da normative specifiche (quali, ad es., le discipline in materia di politiche e prassi di remunerazione e incentivazione, di trasparenza delle operazioni e correttezza delle relazioni tra intermediari e clienti e di attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati), altre aree di intervento sono: - il coinvolgimento nella valutazione ex ante della conformita' alla regolamentazione applicabile di tutti i progetti innovativi (inclusa l'operativita' in nuovi prodotti o servizi) che la banca intenda intraprendere nonche' nella prevenzione e nella gestione dei conflitti di interesse sia tra le diverse attivita' svolte dalla banca, sia con riferimento ai dipendenti e agli esponenti aziendali; - la consulenza e assistenza nei confronti degli organi aziendali della banca in tutte le materie in cui assume rilievo il rischio di non conformita' nonche' la collaborazione nell'attivita' di formazione del personale sulle disposizioni applicabili alle attivita' svolte, al fine di diffondere una cultura aziendale improntata ai principi di onesta', correttezza e rispetto dello spirito e della lettera delle norme. Sotto il profilo organizzativo, tenuto conto dei molteplici profili professionali richiesti per l'espletamento di tali adempimenti, le varie fasi in cui si articola l'attivita' della funzione di conformita' alle norme possono essere affidate a risorse appartenenti ad altre strutture organizzative (ad es., legale, organizzazione, gestione del rischio operativo), purche' il processo di gestione del rischio e l'operativita' della funzione siano ricondotti ad unita' mediante la nomina di un responsabile che coordini e sovrintenda alle diverse attivita'. 3.3. Funzione di controllo dei rischi (risk management function). La funzione di controllo dei rischi ha la finalita' di collaborare alla definizione e all'attuazione del RAF e delle relative politiche di governo dei rischi, attraverso un adeguato processo di gestione dei rischi (18) . La funzione di controllo dei rischi deve essere organizzata in modo da perseguire in maniera efficiente ed efficace tale obiettivo. Essa puo' essere variamente articolata, ad esempio in relazione ai singoli profili di rischio (di credito, di mercato, operativo, modello, ecc.), purche' la banca mantenga una visione d'insieme dei diversi rischi e della loro reciproca interazione. Le banche che adottano sistemi interni per la misurazione dei rischi, se coerente con la natura, la dimensione e la complessita' dell'attivita' svolta, individuano all'interno della funzione di controllo dei rischi unita' preposte alla convalida di detti sistemi indipendenti dalle unita' responsabili dello sviluppo degli stessi. Specie nelle banche piu' complesse, puo' essere prevista la costituzione di specifici comitati di gestione dei diversi profili di rischio (ad es., comitati per i rischi di credito e operativi, comitato di liquidita', comitato finanza, comitato per l'asset and liability management), definendo in modo chiaro le diverse responsabilita' e le modalita' di intervento e di partecipazione della funzione, in modo da garantirne la completa indipendenza dal processo di assunzione dei rischi; va inoltre evitato che l'istituzione di tali comitati possa depotenziare le prerogative della funzione di controllo dei rischi. Al tempo stesso, vanno individuate soluzioni organizzative che non determinino una eccessiva distanza dal contesto operativo. Per la piena consapevolezza dei rischi e' necessario che vi sia una continua interazione critica con le unita' di business. La funzione di controllo dei rischi: - e' coinvolta nella definizione del RAF, delle politiche di governo dei rischi e delle varie fasi che costituiscono il processo di gestione dei rischi nonche' nella fissazione dei limiti operativi all'assunzione delle varie tipologie di rischio. In tale ambito, ha, tra l'altro, il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della banca, l'adeguamento di tali parametri; - verifica l'adeguatezza del RAF; - verifica nel continuo l'adeguatezza del processo di gestione dei rischi e dei limiti operativi; - fermo restando quanto previsto nell'ambito della disciplina dei sistemi interni per il calcolo dei requisiti patrimoniali, e' responsabile dello sviluppo, della convalida e del mantenimento dei sistemi di misurazione e controllo dei rischi assicurando che siano sottoposti a backtesting periodici, che vengano analizzati un appropriato numero di scenari e che siano utilizzate ipotesi conservative sulle dipendenze e sulle correlazioni; nella misurazione dei rischi tiene conto in generale del rischio di modello e dell'eventuale incertezza nella valutazione di alcune tipologie di strumenti finanziari e informa di queste incertezze l'organo con funzione di gestione; - definisce metriche comuni di valutazione dei rischi operativi coerenti con il RAF, coordinandosi con la funzione di conformita' alle norme, con la funzione ICT e con la funzione di continuita' operativa; - definisce modalita' di valutazione e controllo dei rischi reputazionali, coordinandosi con la funzione di conformita' alle norme e le funzioni aziendali maggiormente esposte; - coadiuva gli organi aziendali nella valutazione del rischio strategico monitorando le variabili significative; - assicura la coerenza dei sistemi di misurazione e controllo dei rischi con i processi e le metodologie di valutazione delle attivita' aziendali, coordinandosi con le strutture aziendali interessate; - sviluppa e applica indicatori in grado di evidenziare situazioni di anomalia e di inefficienza dei sistemi di misurazione e controllo dei rischi; - analizza i rischi dei nuovi i prodotti e servizi e di quelli derivanti dall'ingresso in nuovi segmenti operativi e di mercato; - da' pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo eventualmente acquisendo, in funzione della natura dell'operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi; - monitora costantemente il rischio effettivo assunto dalla banca e la sua coerenza con gli obiettivi di rischio nonche' il rispetto dei limiti operativi assegnati alle strutture operative in relazione all'assunzione delle varie tipologie di rischio; - verifica il corretto svolgimento del monitoraggio andamentale sulle singole esposizioni creditizie (cfr. Allegato A, par. 2); - verifica l'adeguatezza e l'efficacia delle misure prese per rimediare alle carenze riscontrate nel processo di gestione del rischio. 3.4. Funzione di revisione interna (internal audit). La funzione di revisione interna e' volta, da un lato, a controllare, in un'ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell'operativita' e l'evoluzione dei rischi, e, dall'altro, a valutare la completezza, l'adeguatezza, la funzionalita' e l'affidabilita' della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all'attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonche' agli strumenti di misurazione e controllo degli stessi. Sulla base dei risultati dei propri controlli formula raccomandazioni agli organi aziendali. In tale ambito, coerentemente con il piano di audit, la funzione di revisione interna: - valuta la completezza, l'adeguatezza, la funzionalita', l'affidabilita' delle altre componenti del sistema dei controlli interni, del processo di gestione dei rischi e degli altri processi aziendali, avendo riguardo anche alla capacita' di individuare errori ed irregolarita'. In tale contesto, sottopone, tra l'altro, a verifica le funzioni aziendali di controllo dei rischi e di conformita' alle norme; - valuta l'efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformita' dell'operativita' aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformita' di queste alle strategie approvate dagli organi aziendali; - verifica, anche attraverso accertamenti di natura ispettiva: a) la regolarita' delle diverse attivita' aziendali, incluse quelle esternalizzate, e l'evoluzione dei rischi sia nella direzione generale della banca, sia nelle filiali. La frequenza delle ispezioni e' coerente con l'attivita' svolta e la propensione al rischio; tuttavia sono condotti anche accertamenti ispettivi casuali e non preannunciati; b) il monitoraggio della conformita' alle norme dell'attivita' di tutti i livelli aziendali; c) il rispetto, nei diversi settori operativi, dei limiti previsti dai meccanismi di delega, e il pieno e corretto utilizzo delle informazioni disponibili nelle diverse attivita'; d) l'efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo; e) l'adeguatezza e il corretto funzionamento dei processi e delle metodologie di valutazione delle attivita' aziendali e, in particolare, degli strumenti finanziari; f) l'adeguatezza, l'affidabilita' complessiva e la sicurezza del sistema informativo (ICT audit); g) la rimozione delle anomalie riscontrate nell'operativita' e nel funzionamento dei controlli (attivita' di «follow-up»); - effettua test periodici sul funzionamento delle procedure operative e di controllo interno; - espleta compiti d'accertamento anche con riguardo a specifiche irregolarita'; - controlla regolarmente il piano aziendale di continuita' operativa. In tale ambito, prende visione dei programmi di verifica, assiste alle prove e ne controlla i risultati, propone modifiche al piano sulla base delle mancanze riscontrate. La funzione di revisione interna controlla altresi' i piani di continuita' operativa dei fornitori di servizi e dei fornitori critici; essa puo' decidere di fare affidamento sulle strutture di questi ultimi se ritenute professionali e indipendenti quanto ai risultati dei controlli ed esamina i contratti per accertare che il livello di tutela sia adeguato agli obiettivi e agli standard aziendali; - qualora nell'ambito della collaborazione e dello scambio di informazioni con il soggetto incaricato della revisione legale dei conti, viene a conoscenza di criticita' emerse durante l'attivita' di revisione legale dei conti, si attiva affinche' le competenti funzioni aziendali adottino i presidi necessari per superare tali criticita'. Con specifico riferimento al processo di gestione dei rischi, la funzione di revisione interna valuta anche: - l'organizzazione, i poteri e le responsabilita' della funzione di controllo dei rischi, anche con riferimento alla qualita' e alla adeguatezza delle risorse a questa assegnate; - l'appropriatezza delle ipotesi utilizzate nelle analisi di sensitivita' e di scenario e negli stress test; - l'allineamento con le best practice diffuse nel settore. Nello svolgimento dei propri compiti la funzione di revisione interna tiene conto di quanto previsto dagli standard professionali diffusamente accettati. L'organizzazione della funzione di revisione interna e' coerente con l'articolazione ed il grado di complessita' della banca. Fermo restando che la funzione va posta alle dirette dipendenze dell'organo con funzione di supervisione strategica, vanno, tuttavia, preservati i raccordi con l'organo con funzione di gestione. Indipendentemente dalle scelte organizzative, e fermo restando che i destinatari delle comunicazioni delle attivita' di verifica sono gli organi aziendali e le unita' sottoposte a controllo, nella regolamentazione interna e' espressamene previsto il potere per la funzione di revisione interna di comunicare in via diretta i risultati degli accertamenti e delle valutazioni agli organi aziendali. Gli esiti degli accertamenti conclusisi con giudizi negativi o che evidenzino carenze di rilievo sono trasmessi integralmente, tempestivamente e direttamente agli organi aziendali. Per svolgere adeguatamente i propri compiti, la funzione di revisione interna ha accesso a tutte le attivita', comprese quelle esternalizzate, della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche. In caso di attribuzione a soggetti terzi di attivita' rilevanti per il funzionamento del sistema dei controlli interni (ad es., dell'attivita' di elaborazione dei dati), la funzione di revisione interna deve poter accedere anche alle attivita' svolte da tali soggetti. 3.5. Rapporti tra le funzioni aziendali di controllo e altre funzioni aziendali. Fermo restando la reciproca indipendenza e i rispettivi ruoli, le funzioni aziendali di controllo collaborano tra loro e con le altre funzioni (ad es., funzione legale, organizzazione, sicurezza) allo scopo di sviluppare le proprie metodologie di controllo in modo coerente con le strategie e l'operativita' aziendale. Tenuto conto delle forti interrelazioni tra le diverse funzioni aziendali di controllo, specie tra le attivita' di controllo di conformita' alle norme, di controllo dei rischi operativi e di revisione interna, e' necessario che i compiti e le responsabilita' delle diverse funzioni siano comunicati all'interno dell'organizzazione aziendale, in particolare per quanto attiene alla suddivisione delle competenze relative alla misurazione dei rischi, alla consulenza in materia di adeguatezza delle procedure di controllo nonche' alle attivita' di verifica delle procedure medesime. Specifica attenzione e' posta nell'articolazione dei flussi informativi tra le funzioni aziendali di controllo; in particolare, i responsabili della funzione di controllo dei rischi e della funzione di conformita' alle norme informano il responsabile della funzione di revisione interna delle criticita' rilevate nelle proprie attivita' di controllo che possano essere di interesse per l'attivita' di audit. Il responsabile della revisione interna informa i responsabili delle altre funzioni aziendali di controllo per le eventuali inefficienze, punti di debolezza o irregolarita' emerse nel corso delle attivita' di verifica di propria competenza e riguardanti specifiche aree o materie di competenza di queste ultime. Sezione IV ESTERNALIZZAZIONE DI FUNZIONI AZIENDALI (OUTSOURCING) AL DI FUORI DEL GRUPPO BANCARIO 1. Principi generali e requisiti particolari. Le banche che ricorrono all'esternalizzazione di funzioni aziendali presidiano i rischi derivanti dalle scelte effettuate e mantengono la capacita' di controllo e la responsabilita' sulle attivita' esternalizzate nonche' le competenze tecniche e gestionali essenziali per re-internalizzare, in caso di necessita', il loro svolgimento. La decisione di ricorrere all'outsourcing per lo svolgimento di determinate funzioni aziendali (anche non importanti) e' coerente con la politica aziendale in materia di esternalizzazione. In linea con il principio di proporzionalita', tale politica stabilisce almeno: - il processo decisionale per esternalizzare funzioni aziendali (livelli decisionali; funzioni coinvolte; valutazione dei rischi, inclusi quelli connessi con potenziali conflitti di interesse del fornitore di servizi, e l'impatto sulle funzioni aziendali; valutazione dell'impatto in termini di continuita' operativa; criteri per la scelta e la due diligence del fornitore); - il contenuto minimo dei contratti di outsourcing e i livelli di servizio attesi delle attivita' esternalizzate; - le modalita' di controllo, nel continuo e con il coinvolgimento della funzione di revisione interna, delle funzioni esternalizzate; - i flussi informativi interni volti ad assicurare agli organi aziendali e alle funzioni aziendali di controllo la piena conoscenza e governabilita' dei fattori di rischio relativi alle funzioni esternalizzate; - i piani di continuita' operativa (clausole contrattuali, piani operativi, ecc.) in caso di non corretto svolgimento delle funzioni esternalizzate da parte del fornitore di servizi. La banca, attraverso il ricorso all'esternalizzazione, non puo': - delegare le proprie responsabilita', ne' la responsabilita' degli organi aziendali. In linea con questo principio, a titolo esemplificativo, non e' ammessa l'esternalizzazione di attivita' che rientrano tra i compiti degli organi aziendali (cfr. Sezione II) o che riguardano aspetti nevralgici del processo di erogazione del credito (ad es., il processo di valutazione del merito di credito e di monitoraggio delle relazioni creditizie); l'esternalizzazione delle funzioni aziendali di controllo e' consentita nei limiti e alle condizioni previsti nel par. 2; - alterare il rapporto e gli obblighi nei confronti dei suoi clienti; - mettere a repentaglio la propria capacita' di rispettare gli obblighi previsti dalla disciplina di vigilanza ne' mettersi in condizione di violare le riserve di attivita' previste dalla legge; - pregiudicare la qualita' del sistema dei controlli interni; - ostacolare la vigilanza. Ferma restando l'esigenza di assicurare, per ogni tipologia di esternalizzazione, il corretto svolgimento della stessa da parte del fornitore, il buon funzionamento del sistema dei controlli interni e il monitoraggio continuo dell'attivita' svolta dal fornitore di servizi, nel caso in cui intendano esternalizzare funzioni operative importanti le banche assicurano che siano soddisfatte le seguenti condizioni: - nell'accordo scritto tra la banca e il fornitore di servizi sono formalizzati e chiaramente definiti: a) i rispettivi diritti e obblighi; i livelli di servizio attesi, espressi in termini oggettivi e misurabili, nonche' le informazioni necessarie per la verifica del loro rispetto; gli eventuali conflitti di interesse e le opportune cautele per prevenirli o, se non possibile, attenuarli; le condizioni al verificarsi delle quali possono essere apportate modifiche all'accordo; la durata dell'accordo e le modalita' di rinnovo nonche' gli impegni reciproci connessi con l'interruzione del rapporto; b) i livelli di servizio assicurati in caso di emergenza e le soluzioni di continuita' compatibili con le esigenze aziendali e coerenti con le prescrizioni dell'Autorita' di vigilanza. Sono altresi' stabilite le modalita' di partecipazione, diretta o per il tramite di comitati utente, alle verifiche dei piani di continuita' operativa dei fornitori. Sono inoltre previste clausole risolutive espresse che consentano alla banca di porre termine all'accordo di esternalizzazione in presenza di eventi che possano compromettere la capacita' del fornitore di garantire il servizio oppure quando si verifichi il mancato rispetto del livello di servizio concordato; - il fornitore di servizi: a) dispone della competenza, della capacita' e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale e affidabile, le funzioni esternalizzate; b) informa la banca di qualsiasi evento che potrebbe incidere sulla sua capacita' di svolgere le funzioni esternalizzate in maniera efficace e in conformita' con la normativa vigente; in particolare, comunica tempestivamente il verificarsi di incidenti di sicurezza, anche al fine di consentire la pronta attivazione delle relative procedure di gestione o di emergenza; c) garantisce la sicurezza delle informazioni relative all'attivita' della banca, sotto l'aspetto della disponibilita', integrita' e riservatezza; in quest'ambito, assicura il rispetto delle norme sulla protezione dei dati personali; - la banca: a) conserva la competenza richiesta per controllare efficacemente le funzioni esternalizzate e per gestire i rischi connessi con l'esternalizzazione, inclusi quelli derivanti da potenziali conflitti di interessi del fornitore di servizi; in tale ambito, individua, all'interno della propria organizzazione, un responsabile del controllo delle singole funzioni esternalizzate dotato di adeguati requisiti di professionalita' («referente per le attivita' esternalizzate»); b) acquisisce i piani di continuita' operativa del fornitore di servizi o dispone di informazioni adeguate, al fine di valutare la qualita' delle misure previste e di integrarle con le soluzioni di continuita' realizzate all'interno; - la banca, i suoi soggetti incaricati della revisione legale dei conti e le Autorita' di vigilanza hanno effettivo accesso ai dati relativi alle attivita' esternalizzate e ai locali in cui opera il fornitore di servizi. Il diritto di accesso per l'Autorita' di vigilanza deve risultare espressamente nel contratto, senza oneri aggiuntivi per l'intermediario; - la sub-esternalizzazione (ovverosia la possibilita' del fornitore di esternalizzare a sua volta una parte delle attivita' oggetto del contratto di esternalizzazione) non deve mettere a repentaglio il rispetto dei principi e delle condizioni per l'esternalizzazione previste nella presente disciplina; a tal fine, il contratto con il fornitore di servizi prevede che eventuali rapporti di sub-esternalizzazione siano preventivamente concordati con la banca e siano definiti in modo da consentire il pieno rispetto di tutte le condizioni sopra elencate relative al contratto primario, inclusa la possibilita' per l'Autorita' di vigilanza di avere accesso ai dati relativi alle attivita' esternalizzate e ai locali in cui opera il sub-fornitore di servizi. 2. Esternalizzazione delle funzioni aziendali di controllo. L'esternalizzazione delle funzioni aziendali di controllo a soggetti terzi (19) dotati di requisiti idonei in termini di professionalita' e indipendenza e' ammessa, di norma, per le sole banche classificate, a fini SREP, nella macro-categoria 4 (20) . In aggiunta a quanto previsto dal par. 1 e dalla Sezione III, le banche che intendono esternalizzare, in tutto o in parte, le funzioni aziendali di controllo definiscono nell'accordo di esternalizzazione: - gli obiettivi, la metodologia e la frequenza dei controlli; - le modalita' e la frequenza della reportistica dovuta al referente per l'attivita' esternalizzata e agli organi aziendali sulle verifiche effettuate. Resta fermo l'obbligo di dare riscontro tempestivamente a qualsiasi richiesta di informazioni e consulenza da parte di questi ultimi che in ogni caso rimangono responsabili del corretto espletamento delle attivita' di controllo esternalizzate; - gli obblighi di riservatezza delle informazioni acquisite nell'esercizio della funzione; - i collegamenti con le attivita' svolte dall'organo con funzione di controllo; - la possibilita' di richiedere specifiche attivita' di controllo al verificarsi di esigenze improvvise; - la proprieta' esclusiva della banca dei risultati dei controlli. In linea con quanto previsto dal par. 1, la banca nomina specifici referenti per ciascuna delle singole funzioni aziendali di controllo esternalizzate Ai referenti per le funzioni aziendali di controllo esternalizzate si applicano le disposizioni previste dalla Sezione III, par. 1, lett. b). Puo' essere nominato un unico referente per le funzioni aziendali di controllo di secondo livello esternalizzate. Il fornitore di servizi presso cui si intendono esternalizzare le funzioni aziendali di controllo rispetta le seguenti condizioni (21) : - e' indipendente rispetto alla banca presso la quale assume l'incarico; - non cumula incarichi relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo bancario; - non svolge contemporaneamente, per la stessa banca o gruppo bancario, incarichi relativi a funzioni aziendali di controllo e attivita' che sarebbe chiamato a controllare in qualita' di fornitore di servizi; - non svolge la funzione di revisione legale dei conti per la banca che esternalizza o per altre societa' del gruppo di appartenenza. Nel rispetto delle medesime condizioni, inoltre, le banche, se in linea con il principio di proporzionalita', possono esternalizzare specifici controlli, che richiedono conoscenze professionali specializzate, in aree operative di contenute dimensioni e/o rischiosita'. 3. Comunicazioni alla Banca d'Italia. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d'Italia. La comunicazione, corredata di tutte le indicazioni utili a verificare il rispetto dei criteri indicati nella presente Sezione, e' effettuata almeno 60 giorni prima di conferire l'incarico e specifica le esigenze aziendali che hanno determinato la scelta. Entro 60 giorni dal ricevimento della comunicazione la Banca d'Italia puo' avviare un procedimento amministrativo d'ufficio di divieto dell'esternalizzazione che si conclude entro 60 giorni. Entro il 30 aprile di ogni anno le banche trasmettono alla Banca d'Italia una relazione, redatta dalla funzione di revisione interna - o, se esternalizzata, dal referente aziendale - con le considerazioni dell'organo con funzione di controllo e approvata dall'organo con funzione di supervisione strategica, relativa ai controlli svolti sulle funzioni operative importanti o di controllo esternalizzate, alle carenze eventualmente riscontrate e alle conseguenti azioni correttive adottate. 4. Esternalizzazione del trattamento del contante. Fatta salva l'applicazione delle disposizioni in materia di esternalizzazione di funzioni operative importanti della presente Sezione e al fine di minimizzare i rischi operativi, in particolare di natura legale, e reputazionali connessi con l'eventuale erogazione alla clientela di banconote false o di qualita' tale da non renderle idonee alla circolazione, le banche che esternalizzano l'attivita' di trattamento del contante adottano specifiche cautele nella gestione dei rapporti con i soggetti cui l'attivita' e' esternalizzata sia all'atto della scelta del contraente, che deve fondarsi sull'accertamento della sua piena affidabilita', della correttezza della gestione e dell'adeguatezza delle strutture e dei processi organizzativi, sia nell'esercizio di efficaci controlli successivi, da svolgere nel continuo per verificare l'ordinato e corretto svolgimento dell'attivita', nel pieno rispetto delle norme vigenti. In particolare, le funzioni aziendali di controllo effettuano, ciascuna per i profili di competenza, una specifica valutazione delle procedure seguite per l'allacciamento e la gestione dei rapporti con i soggetti cui e' esternalizzata l'attivita' di trattamento del contante nonche' del complessivo assetto dei controlli sulle attivita' esternalizzate. Inoltre, tali funzioni assicurano il rispetto degli obblighi previsti dalla Decisione della Banca Centrale Europea del 16 settembre 2010, n. 14 relativa al controllo dell'autenticita' e idoneita' delle banconote in euro e al loro ricircolo. La banca che intende esternalizzare l'attivita' di trattamento del contante stipula con il fornitore di servizi un contratto concluso in forma scritta che, oltre a rispettare i requisiti previsti nel paragrafo precedente, prevede: - l'obbligo di attenersi alle disposizioni comunitarie sopra richiamate, con particolare riguardo: (i) all'utilizzo esclusivo di apparecchiature conformi a detta disciplina; (ii) alle procedure di verifica delle apparecchiature; (iii) alle attivita' di monitoraggio che possono essere condotte dalla Banca d'Italia; - la possibilita' per le banche di verificare la performance del servizio reso e di richiedere eventuali misure correttive; - il diritto per la banca di recedere, senza penalita', nel caso in cui la controparte violi gli obblighi contrattuali e non vi ponga rimedio entro il periodo di tempo indicato nel contratto stesso. Sezione V IL RAF, IL SISTEMA DEI CONTROLLI INTERNI E L'ESTERNALIZZAZIONE NEI GRUPPI BANCARI 1. Il RAF nei gruppi bancari. La capogruppo definisce e approva il RAF di gruppo secondo le indicazioni contenute nell'Allegato C, in quanto compatibili, assicurando la coerenza tra l'operativita', la complessita' e le dimensioni del gruppo e il RAF stesso. Il RAF di gruppo tiene conto delle specifiche operativita' e dei connessi profili di rischio di ciascuna delle societa' componenti il gruppo in modo da risultare integrato e coerente. Per il conseguimento di tale obiettivo e' necessario che gli organi aziendali della capogruppo svolgano i compiti loro affidati con riferimento non soltanto alla propria realta' aziendale ma anche valutando l'operativita' complessiva del gruppo e i rischi cui esso e' esposto. Gli organi aziendali delle societa' componenti il gruppo, secondo le rispettive competenze, agiscono in coerenza con il RAF di gruppo e sono responsabili della sua attuazione per quanto concerne gli aspetti relativi alla propria realta' aziendale. A tal fine, e' necessario che la capogruppo renda partecipi, nei modi ritenuti piu' opportuni, gli organi aziendali delle controllate delle scelte effettuate in materia di RAF. 2. Controlli interni di gruppo. La capogruppo, nel quadro dell'attivita' di direzione e coordinamento del gruppo, esercita: a) un controllo strategico sull'evoluzione delle diverse aree di attivita' in cui il gruppo opera e dei rischi incombenti sulle attivita' esercitate. Si tratta di un controllo sia sull'andamento delle attivita' svolte dalle societa' appartenenti al gruppo (crescita o riduzione per via endogena), sia sulle politiche di acquisizione e dismissione da parte delle societa' del gruppo (crescita o riduzione per via esogena); b) un controllo gestionale volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario e patrimoniale sia delle singole societa', sia del gruppo nel suo insieme. Queste esigenze di controllo vanno soddisfatte preferibilmente attraverso la predisposizione di piani, programmi e budget (aziendali e di gruppo), e mediante l'analisi delle situazioni periodiche, dei conti infra-annuali, dei bilanci di esercizio delle singole societa' e di quelli consolidati; cio' sia per settori omogenei di attivita' sia con riferimento all'intero gruppo; c) un controllo tecnico-operativo finalizzato alla valutazione dei vari profili di rischio apportati al gruppo dalle singole controllate e dei rischi complessivi del gruppo. La capogruppo che esercita l'attivita' di direzione e coordinamento in violazione dei principi di corretta gestione societaria e imprenditoriale e' responsabile ai sensi degli artt. 2497 e ss. del codice civile. La capogruppo dota il gruppo di un sistema unitario di controlli interni che consenta l'effettivo controllo sia sulle scelte strategiche del gruppo nel suo complesso sia sull'equilibrio gestionale delle singole componenti. Per definire il sistema dei controlli interni del gruppo bancario, la capogruppo applica, per quanto compatibili, le disposizioni previste nelle precedenti Sezioni. A livello di gruppo - tenendo conto delle disposizioni in materia di organizzazione e controllo dei soggetti diversi dalle banche - vanno anche stabiliti e definiti: - procedure formalizzate di coordinamento e collegamento fra le societa' appartenenti al gruppo e la capogruppo per tutte le aree di attivita'; - compiti e responsabilita' degli organi e delle funzioni di controllo all'interno del gruppo, le procedure di coordinamento, i riporti organizzativi, i flussi informativi e i relativi raccordi; a tali fini, l'organo con funzione di supervisione strategica della capogruppo approva un apposito documento di coordinamento dei controlli nell'ambito del gruppo. La relazione che le funzioni aziendali di controllo della capogruppo devono presentare agli organi aziendali (cfr. Sezione III, par. 2) illustra le verifiche effettuate, i risultati emersi, i punti di debolezza rilevati con riferimento, oltre che alla capogruppo medesima, anche al gruppo bancario nel suo complesso e propone gli interventi da adottare per la rimozione delle carenze rilevate; - meccanismi di integrazione dei sistemi informativi e dei processi di gestione dei dati (specie per le societa' appartenenti al gruppo aventi sede in paesi che adottano diversi schemi/criteri contabili o di rilevazione), anche al fine di garantire l'affidabilita' delle rilevazioni su base consolidata; - flussi informativi periodici che consentano l'effettivo esercizio delle varie forme di controllo su tutte le componenti del gruppo; - procedure che garantiscano, a livello accentrato, un efficace processo unitario di gestione dei rischi del gruppo a livello consolidato. In particolare, vi deve essere un'anagrafe unica, o piu' anagrafi che siano facilmente raccordabili, presso le diverse societa' del gruppo in modo da consentire l'univoca identificazione, da parte delle diverse entita', dei singoli clienti e controparti, dei gruppi di clienti connessi e dei soggetti collegati e rilevare correttamente, a livello consolidato, la loro esposizione complessiva ai diversi rischi; - sistemi per monitorare i flussi finanziari, le relazioni di credito (in particolare le prestazioni di garanzie) e le altre relazioni fra i soggetti componenti il gruppo; - controlli sul raggiungimento degli obiettivi di sicurezza informatica e di continuita' operativa definiti per l'intero gruppo e le singole componenti. L'organo con funzione di controllo della societa' capogruppo vigila anche sul corretto esercizio delle attivita' di controllo svolte dalla capogruppo sulle societa' del gruppo. La capogruppo formalizza e rende noti a tutte le societa' del gruppo i criteri che presiedono le diverse fasi che costituiscono il processo di gestione dei rischi. Essa, inoltre, convalida i processi di gestione dei rischi all'interno del gruppo. Per quanto riguarda in particolare il rischio di credito, la capogruppo fissa i criteri di valutazione delle posizioni e crea una base informativa comune che consenta a tutte le societa' appartenenti al gruppo di conoscere l'esposizione dei clienti nei confronti del gruppo nonche' le valutazioni inerenti alle posizioni dei soggetti affidati. La capogruppo decide, infine, in merito all'adozione dei sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali e ne determina le caratteristiche essenziali, assumendosi la responsabilita' della realizzazione del progetto nonche' della supervisione sul corretto funzionamento di tali sistemi e sul loro costante adeguamento sotto il profilo metodologico, organizzativo e procedurale. Ciascuna societa' del gruppo si dota di un sistema dei controlli interni che sia coerente con la strategia e la politica del gruppo in materia di controlli, fermo restando il rispetto della disciplina eventualmente applicabile su base individuale. Nel caso di controllate estere, e' necessario che la capogruppo, nel rispetto dei vincoli locali, adotti tutte le iniziative atte a garantire standard di controllo e presidi comparabili a quelli previsti dalle disposizioni di vigilanza italiane, anche nei casi in cui la normativa dei paesi in cui sono insediate le filiazioni non preveda analoghi livelli di attenzione. Per verificare la rispondenza dei comportamenti delle societa' appartenenti al gruppo agli indirizzi della capogruppo nonche' l'efficacia del sistema dei controlli interni, la capogruppo si attiva affinche', nei limiti dell'ordinamento, la funzione di revisione interna a livello consolidato effettui periodicamente verifiche in loco sulle componenti del gruppo, tenuto conto della rilevanza delle diverse tipologie di rischio assunte dalle diverse entita'. 3. Esternalizzazione di funzioni aziendali all'interno del gruppo bancario. La capogruppo definisce la politica aziendale in materia di esternalizzazione all'interno del gruppo bancario. La politica stabilisce almeno: - il processo decisionale per esternalizzare funzioni aziendali presso la capogruppo o altre componenti del gruppo; - i presidi adottati per assicurare una adeguata tutela degli interessi di eventuali soci di minoranza; - i criteri per individuare il fornitore di servizi all'interno del gruppo, e gli obblighi previsti per tale soggetto; in particolare, con riferimento alle funzioni operative importanti, il fornitore di servizi: a) dispone della competenza, della capacita' e delle autorizzazioni richieste dalla legge per esercitare, in maniera professionale e affidabile, le funzioni esternalizzate; b) informa la capogruppo e la banca che esternalizza di qualsiasi evento che potrebbe incidere sulla sua capacita' di svolgere le funzioni esternalizzate in maniera efficace e in conformita' con la normativa vigente; c) comunica tempestivamente il verificarsi di incidenti di sicurezza, anche al fine di consentire la pronta attivazione delle relative procedure di gestione o di emergenza; d) garantisce la sicurezza delle informazioni relative all'attivita' della banca che esternalizza, sotto l'aspetto della disponibilita', integrita' e riservatezza; in quest'ambito, assicura il rispetto delle norme sulla protezione dei dati personali; - il contenuto minimo dei contratti di outsourcing e i livelli di servizio attesi delle attivita' esternalizzate; - i livelli di servizio assicurati in caso di emergenza e le soluzioni di continuita' compatibili con le esigenze aziendali e coerenti con le prescrizioni dell'Autorita' di vigilanza; - i flussi informativi volti ad assicurare agli organi aziendali della capogruppo e della banca che esternalizza e alle funzioni aziendali di controllo di tali soggetti la piena conoscenza e governabilita' dei fattori di rischio relativi alle funzioni esternalizzate. La banca appartenente a un gruppo bancario, ferma restando la responsabilita' per le attivita' esternalizzate, puo' derogare alle disposizioni in materia di esternalizzazione previste alla Sezione IV se rispetta la politica aziendale in materia di esternalizzazione all'interno del gruppo. Attraverso il ricorso all'esternalizzazione, la banca non puo': - delegare le proprie responsabilita', ne' la responsabilita' degli organi aziendali. In linea con questo principio, a titolo esemplificativo, non e' ammessa l'esternalizzazione di attivita' che rientrano tra i compiti degli organi aziendali (cfr. Sezione II); - alterare il rapporto e gli obblighi nei confronti dei suoi clienti; - mettere a repentaglio la propria capacita' di rispettare gli obblighi previsti dalla disciplina di vigilanza ne' mettersi in condizione di violare le riserve di attivita' previste dalla legge; - pregiudicare la qualita' del sistema dei controlli interni, tenuto conto dell'assetto complessivo dei controlli del gruppo di appartenenza; - ostacolare la vigilanza. 3.1. L'esternalizzazione nell'ambito del gruppo delle funzioni aziendali di controllo. Fermo restando quanto previsto nel par. 3, al fine di assicurare l'effettivita' e l'integrazione dei controlli, l'esternalizzazione delle funzioni aziendali di controllo presso la capogruppo o le altre componenti del gruppo e' consentita, indipendentemente dalle dimensioni e dalla complessita' operativa della banca, nel rispetto dei seguenti criteri: - sono valutati e documentati, in una logica di gruppo, i costi, i benefici e i rischi alla base della soluzione adottata; tale analisi deve essere periodicamente aggiornata; - gli organi aziendali delle componenti del gruppo sono consapevoli delle scelte effettuate dalla capogruppo e sono responsabili, ciascuno secondo le proprie competenze, dell'attuazione, nell'ambito delle rispettive realta' aziendali, delle strategie e politiche perseguite in materia di controlli, favorendone l'integrazione nell'ambito dei controlli di gruppo; - all'interno delle banche del gruppo e delle altre entita' che, a giudizio della capogruppo, assumono rischi considerati rilevanti per il gruppo nel suo complesso, vengono nominati appositi referenti i quali: i) svolgono compiti di supporto per la funzione aziendale di controllo esternalizzata; ii) riportano funzionalmente alla funzione aziendale di controllo esternalizzata; iii) segnalano tempestivamente eventi o situazioni particolari, suscettibili di modificare i rischi generati dalla controllata (22) . A tali referenti si applicano le disposizioni previste dalla Sezione III, par. 1, lett. b). Puo' essere nominato un unico referente per le sole funzioni aziendali di controllo di secondo livello esternalizzate. 4. Comunicazioni alla Banca d'Italia. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo nell'ambito del gruppo di appartenenza ne danno comunicazione preventiva alla Banca d'Italia, tramite la propria capogruppo. La comunicazione, corredata di tutte le indicazioni utili a verificare il rispetto dei criteri indicati nella presente Sezione, e' effettuata almeno 60 giorni prima di conferire l'incarico e specifica le esigenze aziendali che hanno determinato la scelta. Entro 60 giorni dal ricevimento della comunicazione la Banca d'Italia puo' avviare un procedimento amministrativo d'ufficio di divieto dell'esternalizzazione che si conclude entro 60 giorni. La capogruppo, sulla base delle relazioni delle funzioni aziendali di controllo (cfr. Sezione III, par. 2 e par. 2 della presente Sezione), invia annualmente alla Banca d'Italia una relazione riguardante gli accertamenti effettuati sulle societa' controllate e i risultati emersi, i punti di debolezza rilevati con riferimento sia al gruppo bancario nel suo complesso sia alle singole entita' e la descrizione degli interventi da adottare per la rimozione delle carenze rilevate. Sezione VI IMPRESE DI RIFERIMENTO Le imprese di riferimento sono responsabili del calcolo dei requisiti patrimoniali e del rispetto delle disposizioni prudenziali applicabili su base consolidata (23) ; a tali fini, il sistema di controlli interni nel suo complesso assicura la correttezza, l'adeguatezza e la tempestivita' dei flussi informativi con le altre societa' bancarie, finanziarie e strumentali controllate dalla societa' di partecipazione finanziaria madre nell'UE necessari per rispettare gli obblighi imposti dalle disposizioni prudenziali. Sezione VII SUCCURSALI DI BANCHE COMUNITARIE E DI BANCHE EXTRACOMUNITARIE AVENTI SEDE NEI PAESI DEL GRUPPO DEI DIECI O IN QUELLI INCLUSI IN UN ELENCO PUBBLICATO DALLA BANCA D'ITALIA Nel caso delle succursali di banche comunitarie e delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta annualmente che e' stata condotta una verifica di conformita' della condotta aziendale rispetto alle norme italiane applicabili alla succursale e riferisce sinteticamente alla Banca d'Italia in merito all'esito di tale verifica (24) . A tal fine, la banca verifica che le procedure interne adottate dalla succursale stessa siano adeguate rispetto all'obiettivo di prevenire la violazione delle norme italiane applicabili alla succursale. Nel caso delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta altresi' che la completezza, l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei controlli interni e' stata verificata attraverso un processo di revisione interna. Sezione VIII INFORMATIVA ALLA BANCA D'ITALIA Le banche comunicano tempestivamente alla Banca d'Italia la nomina e l'eventuale revoca dei responsabili delle funzioni aziendali di controllo. Nel caso di gruppi bancari tale comunicazione e' eseguita dalla capogruppo. Le banche non appartenenti a gruppi bancari trasmettono inoltre alla Banca d'Italia: - tempestivamente, le relazioni sull'attivita' svolta redatte annualmente dalle funzioni di controllo dei rischi, di conformita' alle norme e di revisione interna (cfr. Sezione III, par. 2). Se una o piu' di queste funzioni sono esternalizzate, la relazione e' redatta dal referente aziendale; - entro il 30 aprile di ogni anno, una relazione, redatta dalla funzione di revisione interna - o, se esternalizzata, dal referente aziendale - con le considerazioni dell'organo con funzione di controllo e approvata dall'organo con funzione di supervisione strategica, relativa ai controlli svolti sulle funzioni operative importanti esternalizzate, alle carenze eventualmente riscontrate e alle conseguenti azioni correttive adottate (cfr. Sezione IV, par. 3); - qualora ve ne siano le condizioni, la relazione di cui al punto 2.1 dell'Allegato A. Le banche non appartenenti a gruppi che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d'Italia (cfr. Sezione IV, par. 3). Nel caso di gruppi bancari, le capogruppo coordinano e trasmettono alla Banca d'Italia, per tutte le banche del gruppo, la stessa documentazione richiesta nel caso delle banche non appartenenti a gruppi bancari, ad eccezione delle relazioni delle funzioni aziendali di controllo delle societa' controllate (Sezione III, par. 2). In luogo di queste ultime, inviano annualmente alla Banca d'Italia la relazione di cui alla Sezione V, par. 4, riguardante gli accertamenti effettuati sulle societa' controllate e i risultati emersi, i punti di debolezza rilevati con riferimento sia al gruppo bancario nel suo complesso sia alle singole entita' e la descrizione degli interventi da adottare per la rimozione delle carenze rilevate. Le capogruppo danno comunicazione preventiva alla Banca d'Italia dell'intenzione delle banche di esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo nell'ambito del gruppo bancario di appartenenza (cfr. Sezione V, par. 4). Nel caso delle succursali di banche comunitarie e delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta annualmente che e' stata condotta una verifica di conformita' della condotta aziendale rispetto alle norme italiane applicabili alla succursale e riferisce sinteticamente alla Banca d'Italia in merito all'esito di tale verifica (cfr. Sezione VII). Nel caso delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, il legale rappresentante attesta altresi' che la completezza, l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei controlli interni e' stata verificata attraverso un processo di revisione interna (cfr. Sezione VII). Le succursali di banche extracomunitarie non aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia, individuano un referente per ciascuna funzione aziendale di controllo della succursale. I nominativi dei referenti e le eventuali variazioni sono comunicati alla Banca d'Italia. Allegato A DISPOSIZIONI SPECIALI RELATIVE A PARTICOLARI CATEGORIE DI RISCHIO 1. Premessa. Vengono in questa sede individuate disposizioni speciali in materia di controlli interni, che assumono valenza per la generalita' delle banche e dei gruppi bancari, relativamente a specifiche categorie di rischio. Nel caso in cui la banca utilizzi sistemi interni di misurazione dei rischi per la determinazione dei requisiti patrimoniali (credito, controparte, mercato, operativi), queste indicazioni devono essere integrate con i principi di carattere organizzativo previsti dalle rispettive discipline, i quali costituiscono una delle condizioni per il riconoscimento, a fini prudenziali, di tali sistemi. 2. Rischio di credito e di controparte. L'intero processo di gestione del rischio di credito e di controparte (misurazione del rischio, istruttoria, erogazione, controllo andamentale e monitoraggio delle esposizioni, revisione delle linee di credito, classificazione delle posizioni di rischio, interventi in caso di anomalia, criteri di classificazione, valutazione e gestione delle esposizioni deteriorate) deve risultare dal regolamento interno ed essere periodicamente sottoposto a verifica. Nel definire i criteri per l'erogazione dei crediti, il regolamento interno assicura che la diversificazione dei vari portafogli esposti al rischio di credito sia coerente con gli obiettivi di mercato e la strategia complessiva della banca. La corretta misurazione del rischio di credito presuppone che le banche abbiano in ogni momento conoscenza della propria esposizione verso ciascun cliente e verso ciascun gruppo di clienti connessi (con rilevanza sia delle connessioni di carattere giuridico sia di quelle di tipo economico-finanziario). A tale fine, e' indispensabile la disponibilita' di basi dati complete ed aggiornate, di un sistema informativo che ne consenta lo sfruttamento ai fini richiesti, di un'anagrafe clienti attraverso cui generare ed aggiornare, a livello individuale e, nel caso di un gruppo bancario, consolidato, i dati identificativi della clientela, le connessioni giuridiche ed economico-finanziarie tra clienti diversi, le forme tecniche da cui deriva l'esposizione, il valore aggiornato delle tecniche di attenuazione dei rischi. La corretta rilevazione e gestione di tutte le informazioni necessarie riveste particolare importanza nelle procedure per l'assunzione di grandi rischi. A tal fine, le banche sono tenute al rispetto della disciplina dettata nel Titolo V, Capitolo 1, Sezione V. Nella fase istruttoria, le banche acquisiscono tutta la documentazione necessaria per effettuare un'adeguata valutazione del merito di credito del prenditore, sotto il profilo patrimoniale e reddituale, e una corretta remunerazione del rischio assunto. La documentazione deve consentire di valutare la coerenza tra importo, forma tecnica e progetto finanziato; essa deve inoltre permettere l'individuazione delle caratteristiche e della qualita' del prenditore, anche alla luce del complesso delle relazioni intrattenute. Nel caso di affidamenti ad imprese, sono acquisiti i bilanci (individuali e, se disponibili, consolidati), le altre informazioni desumibili dalla Centrale dei Bilanci e ogni altra informazione, significativa e rilevante, per valutare la situazione aziendale attuale e prospettica dell'impresa, anche di carattere qualitativo (validita' del progetto imprenditoriale, assetti proprietari, esame della situazione del settore economico di appartenenza, situazione dei mercati di sbocco e di fornitura, ecc.). Le procedure di sfruttamento delle informazioni devono fornire indicazioni circostanziate sul livello di affidabilita' del cliente (ad es., attraverso sistemi di credit scoring e/o di rating). Nel caso in cui l'affidato faccia parte di un gruppo, la valutazione tiene conto anche della situazione e delle prospettive del gruppo nel suo complesso. Al fine di conoscere la valutazione degli affidati da parte del sistema bancario le banche utilizzano, anche nella successiva fase di controllo andamentale e monitoraggio delle esposizioni, le informazioni fornite dalla Centrale dei Rischi. Le deleghe in materia di erogazione del credito devono risultare da apposita delibera dell'organo con funzione di supervisione strategica e devono essere commisurate alle caratteristiche dimensionali della banca. Nel caso di fissazione di limiti «a cascata» (quando, cioe', il delegato delega a sua volta entro i limiti a lui attribuiti), la griglia dei limiti risultanti deve essere documentata. Il soggetto delegante deve inoltre essere periodicamente informato sull'esercizio delle deleghe, al fine di poter effettuare le necessarie verifiche. Il controllo andamentale e il monitoraggio delle singole esposizioni devono essere svolti con sistematicita', avvalendosi di procedure efficaci in grado di segnalare tempestivamente l'insorgere di anomalie e di assicurare l'adeguatezza delle rettifiche di valore e dei passaggi a perdita. I criteri di classificazione, valutazione e gestione delle esposizioni deteriorate (25) , nonche' le relative unita' responsabili devono essere stabiliti dall'organo con funzione di supervisione strategica con apposita delibera che indichi anche le modalita' di raccordo tra tali criteri e quelli previsti per le segnalazioni di vigilanza. La deroga all'applicazione dei criteri prefissati e' consentita esclusivamente in casi predeterminati e seguendo procedure rafforzate, che prevedano il coinvolgimento dell'organo con funzione di gestione. Devono essere altresi' stabilite procedure atte a individuare, in dettaglio, gli interventi da attuare in presenza di deterioramento delle posizioni di rischio. In particolare, la determinazione del valore di recupero dei crediti deteriorati tiene conto dei seguenti fattori: i) tipologia di procedura esecutiva attivata ed esito delle fasi gia' esperite; ii) valore di pronto realizzo delle garanzie (calcolando per i beni immobili haircut in funzione dell'aggiornamento della perizia e del contesto di mercato; per le attivita' finanziarie scarti coerenti con la natura del prodotto e la situazione di mercato); iii) criteri per la stima del periodo di recupero e dei tassi di attualizzazione dei flussi attesi. Le suddette indicazioni sono periodicamente aggiornate sulla base dell'evoluzione del quadro di riferimento. La verifica del corretto svolgimento del monitoraggio andamentale sulle singole esposizioni, in particolare di quelle deteriorate, e la valutazione della coerenza delle classificazioni, della congruita' degli accantonamenti e dell'adeguatezza del processo di recupero e' svolta, a livello centrale e periferico, dalla funzione di controllo dei rischi o, per le banche di maggiore dimensione e complessita' operativa, da una specifica unita', che riporta al responsabile della funzione di controllo dei rischi. Tali unita' verificano, tra l'altro, l'operato delle unita' operative e di recupero crediti, assicurando la corretta classificazione delle esposizioni deteriorate e l'adeguatezza del relativo grado di irrecuperabilita' (26) . Nel caso di valutazioni discordanti, si applicano le valutazioni formulate dalla funzione di controllo dei rischi. L'internal audit assicura periodiche verifiche sull'affidabilita' ed efficacia del complessivo processo. Gli organi aziendali, nell'ambito delle rispettive competenze, sono costantemente aggiornati dei risultati conseguiti nell'applicazione dei criteri e delle procedure individuate e valutano l'esigenza di definire interventi di miglioramento di tali criteri e procedure. Il sistema dei controlli interni deve, infine, garantire che l'intero processo di gestione del rischio ricomprenda l'esposizione al rischio di credito derivante dall'operativita' diversa dalla tipica attivita' di finanziamento, costituita dai derivati finanziari e di credito, dalle operazioni SFT («securities financing transactions») e da quelle con regolamento a lungo termine, cosi' come definite nella disciplina relativa al trattamento prudenziale dei rischi di controparte. A tal fine, le banche sono tenute anche al rispetto dei requisiti organizzativi per l'operativita' in derivati di credito (27) . Nel caso di partecipazione ad accordi di compensazione, su base bilaterale o multilaterale, che misurano il rischio di controparte sulla base dell'esposizione netta anziche' lorda, le banche verificano che gli accordi abbiano fondamento giuridico. Nel caso in cui i predetti accordi intendano riconoscere anche a fini prudenziali l'effetto di riduzione del rischio devono attenersi al rispetto dei criteri previsti dalla normativa (cfr. Titolo II, Capitolo 3, Sezione II, par. 10). L'esigenza di assicurare idonei presidi non viene meno nei casi in cui i finanziamenti sono concessi nella forma del rilascio di garanzie, posto che il credito di firma concesso espone la banca al rischio di dover successivamente intervenire con una erogazione per cassa, attivando conseguentemente le azioni di recupero. Cio' in particolare quando il rilascio di garanzie costituisce l'attivita' esclusiva o prevalente della banca. I presidi organizzativi devono pertanto assicurare anche: - l'approfondita conoscenza - sin dall'inizio della relazione e per tutta la durata della stessa - della capacita' dei garantiti di adempiere le proprie obbligazioni (incluse quelle di fare); - il costante monitoraggio degli impegni assunti con riferimento sia al volume sia al grado di rischiosita' degli stessi, specie in situazioni di elevata rotazione delle garanzie rilasciate. Una particolare attenzione va inoltre posta nella definizione della contrattualistica, al fine di prevenire o limitare l'insorgere di contenziosi con riferimento sia all'attivazione delle garanzie rilasciate, sia alle successive eventuali azioni di rivalsa nei confronti dei garantiti. Le banche si astengono dal sottoscrivere i contratti relativi alle garanzie rilasciate prima della definizione di tutti gli elementi essenziali del rapporto (in particolare: indicazione del beneficiario, prestazione dovuta dal garantito, ammontare e durata della garanzia, modalita' di liberazione dall'obbligo di garanzia o di rinnovo della stessa). Al fine di assicurare il monitoraggio dell'esposizione, anche per il rispetto dei requisiti prudenziali in presenza elevata rotazione delle garanzie, il sistema delle rilevazioni contabili aziendali deve consentire di ricostruire la successione temporale delle operazioni effettuate. 2.1. Valutazione del merito di credito. Le disposizioni in materia di determinazione dei requisiti patrimoniali a fronte del rischio di credito nel metodo standardizzato, prevedono l'applicazione di coefficienti di ponderazione diversificati in funzione delle valutazioni del merito creditizio rilasciate dalle ECAI. Il riconoscimento di un'ECAI, effettuato dalla Banca d'Italia mediante la procedura di cui al Titolo II, Capitolo 1, Parte Prima, Sezione VIII, non implica una valutazione di merito sulla validita' dei giudizi attribuiti o un supporto alle metodologie utilizzate, di cui le ECAI restano le uniche responsabili; esso e' volto a consentire alle banche l'utilizzo dei rating esterni ai fini del calcolo dei requisiti patrimoniali. L'utilizzo dei rating esterni non esaurisce il processo di valutazione del merito di credito che le banche devono svolgere nei confronti della clientela sovvenuta; esso rappresenta soltanto uno degli elementi che possono contribuire alla definizione del quadro informativo sulla qualita' creditizia del cliente. Le banche si dotano, pertanto, di metodologie interne che consentano una valutazione del rischio di credito derivante da esposizioni nei confronti di singoli prenditori, titoli, posizioni verso le cartolarizzazioni nonche' del rischio di credito a livello di portafoglio (28) . Tali metodologie non devono basarsi meccanicamente sulle valutazioni espresse dalle ECAI. La valutazione del merito di credito svolta dalla banca in base alle risultanze dell'attivita' istruttoria e delle sue metodologie interne puo' discostarsi da quelle effettuate dalle ECAI. Divergenze frequenti nella valutazione del merito di credito possono essere indice di incompletezza e scarsa accuratezza del sistema di valutazione dell'agenzia esterna e costituiscono utili informazioni ai fini della periodica valutazione che la Banca d'Italia effettua sulla permanenza dei presupposti per il riconoscimento delle ECAI. Le banche, oltre ad analizzare la qualita' dei singoli prenditori nell'ambito del processo di gestione del rischio, sono tenute a effettuare, con periodicita' almeno annuale, una specifica valutazione della complessiva coerenza dei rating delle ECAI con le valutazioni elaborate in autonomia. I risultati dell'esame sono formalizzati in un documento approvato dall'organo con funzione di gestione e portato a conoscenza dell'organo con funzione di supervisione strategica e dell'organo con funzione di controllo. Ove dall'esame emergano frequenti e significativi disallineamenti fra valutazioni interne ed esterne, copia della citata relazione e' trasmessa alla Banca d'Italia. 3. Rischi derivanti dall'utilizzo di tecniche di attenuazione del rischio di credito. Requisiti organizzativi specifici per la gestione dei rischi derivanti dall'utilizzo di tecniche di attenuazione del rischio di credito sono contenute nel Titolo II, Capitolo 2, Parte Prima, Sezione II. 4. Concentrazione dei rischi. Regole organizzative specifiche in materia di grandi rischi sono contenute nel Titolo V, Capitolo 1, Sezione V. Inoltre, il sistema dei controlli interni assicura la gestione e il controllo, anche attraverso specifiche politiche e procedure aziendali, dei rischi di concentrazione derivanti dalle esposizioni nei confronti di clienti, incluse le controparti centrali, gruppi di clienti connessi, clienti operanti nel medesimo settore economico, nella medesima regione geografica o che esercitano la stessa attivita' o trattano la stessa merce nonche' dall'applicazione di tecniche di attenuazione del rischio di credito, compresi in particolare i rischi derivanti da esposizioni indirette come, ad esempio, nei confronti di singoli fornitori di garanzie (cfr. Titolo III, Capitolo 1, Allegato B). 5. Rischi derivanti da operazioni di cartolarizzazione. Regole organizzative specifiche in materia di operazioni di cartolarizzazione sono contenute nel Titolo II, Capitolo 2, Parte Seconda, Sezione VII. In particolare, il sistema dei controlli interni assicura che i rischi derivanti da tali operazioni inclusi i rischi reputazionali derivanti, ad esempio, dall'utilizzo di strutture o prodotti complessi, siano gestiti e valutati attraverso adeguate politiche e procedure volte a garantire che la sostanza economica di dette operazioni sia pienamente in linea con la loro valutazione di rischiosita' e con le decisioni degli organi aziendali. 6. Rischi di mercato. I principali requisiti relativi al processo di gestione dei rischi di mercato sono riportati nel Titolo II, Capitolo 4. Il sistema di controlli interni, in particolare, assicura l'attuazione di politiche e procedure volte a identificare, misurare e gestire tutte le fonti e gli effetti derivanti dall'esposizione a rischi di mercato. Nei casi in cui una posizione corta abbia scadenza inferiore rispetto alla relativa posizione lunga, la banca adotta adeguati presidi volti a prevenire il rischio di liquidita'. In ogni caso, le banche che non sono in grado di misurare e gestire correttamente i rischi associati a strumenti finanziari sensibili a piu' fattori di rischio devono astenersi dalla negoziazione di tali strumenti (cfr. Titolo II, Capitolo 4, Parte Seconda, Sezione II). 7. Rischio tasso di interesse derivante da attivita' non appartenenti al portafoglio di negoziazione a fini di vigilanza. Le banche predispongono adeguati sistemi volti a identificare, valutare e gestire i rischi derivanti da potenziali variazioni del livello dei tassi di interesse riguardanti attivita' non appartenenti al portafoglio di negoziazione a fini di vigilanza (cfr. Titolo III, Capitolo 1, Allegato C). 8. Rischi operativi. Diversamente dagli altri rischi di «primo pilastro», per i quali la banca, in base alla sua propensione al rischio, assume consapevolmente posizioni creditizie o finanziarie per raggiungere il desiderato profilo di rischio/rendimento, l'assunzione di rischi operativi risulta implicita nella decisione di intraprendere un determinato tipo di attivita' e, piu' in generale, nello svolgimento dell'attivita' d'impresa. In tale contesto, il sistema dei controlli interni deve costituire il presidio principale per la prevenzione ed il contenimento di tali rischi. In particolare, devono essere approvate e attuate politiche e procedure aziendali volte a definire, identificare, valutare e gestire l'esposizione ai rischi operativi, inclusi quelli derivanti da eventi caratterizzati da bassa frequenza e particolare gravita'. Le disposizioni in materia di governo e gestione dei rischi operativi sono riportate nel Titolo II, Capitolo 5. Esse si differenziano in relazione al tipo di trattamento prudenziale adottato dalla banca. Le banche, inoltre, applicano le linee guida del CEBS/EBA in materia di gestione dei rischi operativi derivanti dall'attivita' di trading (cfr. CEBS/EBA GL35, «Guidelines on management of operational risks in market-related activities»). 9. Rischio di liquidita'. Considerata l'importanza crescente che il rischio di liquidita' ha assunto nel corso del tempo, i principi e le linee guida del sistema dei controlli interni sono trattati nel piu' ampio contesto dei presidi organizzavi da predisporre a fronte di questa categoria di rischio (Titolo V, Capitolo 2, Sezione V). 10. Rischio di leva finanziaria eccessiva. Le banche si dotano di politiche e procedure aziendali volte a identificare, gestire e monitorare il rischio di eccessiva leva finanziaria. Indicatori di tale tipologia di rischio sono l'indice di leva finanziaria e i disallineamenti tra attivita' e passivita'. Le banche gestiscono conservativamente il rischio di eccessiva leva finanziaria considerando i potenziali incrementi di tale rischio dovuti alle riduzioni dei fondi propri della banca causate da perdite attese o realizzate derivanti dalle regole contabili applicabili. A tal fine, le banche devono essere in grado di far fronte a diverse situazioni di stress con riferimento al rischio di leva finanziaria eccessiva. 11. Rischi connessi con l'emissione di obbligazioni bancarie garantite. Regole di dettaglio in materia di responsabilita' degli organi aziendali e controlli sulle banche che emettono obbligazioni bancarie garantite sono riportate nel Titolo V, Capitolo 3, Sezione II, par. 5. 12. Rischi connessi con l'assunzione di partecipazioni. Al fine di gestire i rischi specifici connessi con l'assunzione di partecipazioni da parte di banche e gruppi bancari, specifiche regole organizzative e di governo societario sono contenute nel Titolo V, Capitolo 4, Sezione VII. 13. Attivita' di rischio e conflitti di interesse nei confronti di soggetti collegati. Con specifico riferimento alle operazioni con parti correlate si applicano specifiche disposizioni in materia di controlli interni e responsabilita' degli organi aziendali contenute nel Titolo V, Capitolo 5, Sezione IV. 14. Rischi connessi con l'attivita' di banca depositaria di OICR e fondi pensione. Le banche che assumono l'incarico di depositaria rispettano le regole specifiche in materia di controlli interni contenute nel Titolo V, Capitolo 6, Sezioni II e IV. 15. Rischio paese e rischio di trasferimento (Country and transfer risks). Le banche sono tenute a presidiare efficacemente, in linea con il principio di proporzionalita', il rischio paese (29) e il rischio di trasferimento (30) . In particolare, le banche, tengono conto di tali rischi nell'ambito del RAF, del processo per determinare il capitale complessivo adeguato in termini attuali e prospettici (ICAAP) (31) e del processo di gestione dei rischi. Le banche formalizzano criteri per la determinazione di accantonamenti adeguati a fronte delle singole esposizioni soggette ai rischi menzionati. Allegato B CONTROLLI SULLE SUCCURSALI ESTERE Le succursali estere di banche italiane presentano peculiari esigenze di controllo. Vengono di seguito formulate alcune indicazioni di carattere minimale cui le banche devono attenersi nell'orientare le proprie scelte in materia di controlli interni. In particolare, le banche devono: - verificare la coerenza dell'attivita' di ciascuna succursale o gruppo di succursali estere con gli obiettivi e le strategie aziendali; - adottare procedure informative e contabili uniformi o comunque pienamente raccordabili con il sistema centrale, in modo da assicurare flussi informativi adeguati e tempestivi nei confronti degli organi aziendali; - conferire poteri decisionali secondo criteri rapportati alle potenzialita' delle succursali e attribuire le competenze tra le diverse unita' operative di ciascuna succursale in modo da assicurare la necessaria dialettica nell'esercizio dell'attivita'; - prevedere l'esercizio dei poteri di firma in forma congiunta; qualora le caratteristiche e la rischiosita' delle operazioni lo richiedano, deve essere previsto l'intervento di dirigenti della succursale capo-area, ove esistente, o dell'organo con funzione di gestione. Eventuali deroghe per operazioni di importo e rischiosita' limitati devono essere disciplinate con apposito regolamento; - assoggettare le succursali estere ai controlli dell'internal audit, che devono essere effettuati da personale in possesso della necessaria specializzazione; - istituire presso le succursali con una operativita' significativa, tenuto conto sia della rischiosita' della succursale rispetto alla complessiva propensione al rischio della banca, sia della complessita' operativa/organizzativa della succursale stessa, un'unita' incaricata dei controlli di secondo livello e un'unita' avente funzioni di revisione interna. Gli addetti a tali unita', di norma gerarchicamente dipendenti dalle funzione aziendali di controllo centrali, riferiscono, oltre che ai responsabili di tali funzioni, attraverso specifiche relazioni direttamente al dirigente preposto alla succursale capo-area, ove esistente, e all'organo con funzione di gestione; - effettuare il controllo documentale su tutti gli aspetti dell'operativita' ed estenderlo anche al merito della gestione in modo da condurre a una valutazione complessiva dell'andamento delle succursali estere, sotto il profilo del reddito prodotto e dei rischi assunti; l'esito delle verifiche va sottoposto all'organo con funzione di gestione, che curera', almeno una volta all'anno, uno specifico riferimento all'organo con funzione di supervisione strategica. L'organo con funzione di gestione deve avere cura di intensificare, a fini di controllo sulla propria struttura periferica, i rapporti con le parallele strutture centrali delle principali banche corrispondenti, concordando tra l'altro idonee procedure per la verifica delle posizioni reciproche. Nella selezione dei dirigenti da preporre alla guida delle filiali estere, gli organi aziendali devono tenere conto della capacita' degli interessati di adeguarsi alla logica dell'organizzazione aziendale e alle regole di comportamento applicabili in generale alle banche italiane. Vanno previste verifiche, la cui frequenza deve essere coerente con la tipologia di rischi assunti dalla succursale estera, da parte dell'organo con funzione di controllo, della funzione di revisione interna e delle societa' di revisione esterne. Le verifiche in loco condotte dalla funzione di revisione interna devono essere estese e riguardare almeno i rischi assunti, l'affidabilita' delle strutture operative, i sistemi informativi, il funzionamento dei controlli interni, l'inserimento sul mercato. La periodicita' minima delle verifiche e' graduata in relazione all'operativita' svolta e ai mercati di insediamento. I risultati delle verifiche sono portati tempestivamente a conoscenza degli organi aziendali. Allegato C IL RISK APPETITE FRAMEWORK 1. Premessa. Le banche definiscono un quadro di riferimento per la determinazione della propensione al rischio (Risk Appetite Framework - «RAF»), che fissi ex ante gli obiettivi di rischio/rendimento che l'intermediario intende raggiungere e i conseguenti limiti operativi. La formalizzazione, attraverso la definizione del RAF, di obiettivi di rischio coerenti con il massimo rischio assumibile, il business model e gli indirizzi strategici e' un elemento essenziale per la determinazione di una politica di governo dei rischi e di un processo di gestione dei rischi improntati ai principi della sana e prudente gestione aziendale. Le banche, inoltre, coordinano il quadro di riferimento per la determinazione della propensione al rischio con il processo ICAAP (cfr. Titolo III, Capitolo 1) e ne assicurano la corretta attuazione attraverso una organizzazione e un sistema dei controlli interni adeguati. 2. Indicazioni sul contenuto del RAF. Nel presente paragrafo sono fornite indicazioni minimali per la definizione del Risk Appetite Framerwork, fermo restando che l'effettiva articolazione del RAF va calibrata in base alle caratteristiche dimensionali e di complessita' operativa di ciascuna banca. Le banche assicurano una stretta coerenza e un puntuale raccordo tra: il modello di business, il piano strategico, il RAF (e i parametri utilizzati per definirlo), il processo ICAAP, i budget, l'organizzazione aziendale e il sistema dei controlli interni. Il RAF, tenuto conto del piano strategico e dei rischi rilevanti ivi individuati, e definito il massimo rischio assumibile, indica le tipologie di rischio che la banca intende assumere; per ciascuna tipologia di rischio, fissa gli obiettivi di rischio, le eventuali soglie di tolleranza e i limiti operativi in condizioni sia di normale operativita', sia di stress. Sono, altresi', indicate le circostanze, inclusi gli esiti degli scenari di stress, al ricorrere delle quali l'assunzione di determinate categorie di rischio va evitata o contenuta rispetto agli obiettivi e ai limiti fissati. Gli obiettivi di rischio, le soglie di tolleranza e i limiti di rischio sono, di norma, declinati in termini di: a) misure espressive del capitale a rischio o capitale economico (VaR, expected shortfall, ecc); b) adeguatezza patrimoniale; c) liquidita'. Con riferimento ai rischi quantificabili, la declinazione degli elementi costituenti del RAF avviene attraverso l'utilizzo di opportuni parametri quantitativi e qualitativi, calibrati in funzione del principio di proporzionalita'; a tal fine, le banche possono fare riferimento alle metodologie di misurazione dei rischi utilizzate ai fini della valutazione aziendale dell'adeguatezza patrimoniale (ICAAP) (cfr. Titolo III, Capitolo 1, Sezione II). Con riferimento ai rischi difficilmente quantificabili (quali, ad es, il rischio strategico, il rischio reputazionale o il rischio di compliance), il RAF fornisce specifiche indicazioni di carattere qualitativo che siano in grado di orientare la definizione e l'aggiornamento dei processi e dei presidi del sistema dei controlli interni. Nel RAF sono definite le procedure e gli interventi gestionali da attivare nel caso in cui sia necessario ricondurre il livello di rischio entro l'obiettivo o i limiti prestabiliti. In particolare, sono definiti gli interventi gestionali da adottare al raggiungimento della soglia di tolleranza (ove definita). Sono precisate anche le tempistiche e le modalita' da seguire per l'aggiornamento del RAF. Il RAF, infine, precisa i compiti degli organi e di tutte le funzioni aziendali coinvolte nella definizione del processo. TITOLO V Capitolo 8 IL SISTEMA INFORMATIVO Sezione I DISPOSIZIONI DI CARATTERE GENERALE 1. Premessa. Il sistema informativo (inclusivo delle risorse tecnologiche - hardware, software, dati, documenti elettronici, reti telematiche - e delle risorse umane dedicate alla loro amministrazione) rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticita' dei processi aziendali che dipendono da esso. Infatti: - dal punto di vista strategico, un sistema informativo sicuro ed efficiente, basato su un'architettura flessibile, resiliente e integrata a livello di gruppo consente di sfruttare le opportunita' offerte dalla tecnologia per ampliare e migliorare i prodotti e i servizi per la clientela, accrescere la qualita' dei processi di lavoro, favorire la dematerializzazione dei valori, ridurre i costi anche attraverso la virtualizzazione dei servizi bancari; - nell'ottica della sana e prudente gestione, il sistema informativo consente al management di disporre di informazioni dettagliate, pertinenti e aggiornate per l'assunzione di decisioni consapevoli e tempestive e per la corretta attuazione del processo di gestione dei rischi (cfr. Capitolo 7); - con riguardo al contenimento del rischio operativo, il regolare svolgimento dei processi interni e dei servizi forniti alla clientela, l'integrita', la riservatezza e la disponibilita' delle informazioni trattate, fanno affidamento sulla funzionalita' dei processi e dei controlli automatizzati; - in tema di compliance, al sistema informativo e' affidato il compito di registrare, conservare e rappresentare correttamente i fatti di gestione e gli eventi rilevanti per le finalita' previste da norme di legge e da regolamenti interni ed esterni. Le previsioni contenute nel presente Capitolo rappresentano requisiti di carattere generale per lo sviluppo e la gestione del sistema informativo da parte degli intermediari; le concrete misure da adottare tengono conto degli specifici obiettivi strategici e, secondo il principio di proporzionalita', della dimensione e complessita' operative, della natura dell'attivita' svolta, della tipologia dei servizi prestati nonche' del livello di automazione dei processi e servizi della banca. A tal proposito, le banche valutano l'opportunita' di avvalersi degli standard e best practices definiti a livello internazionale in materia di governo, gestione, sicurezza e controllo del sistema informativo. 2. Fonti normative. La materia e' regolata: - dalla direttiva del Parlamento europeo e del Consiglio 2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle imprese di investimento, che modifica la direttiva 2002/87/CE e abroga le direttive 2006/48/CE e 2006/49/CE; - dai seguenti articoli del TUB: • art. 51, il quale prevede che le banche inviino alla Banca d'Italia, con le modalita' e i tempi da essa stabiliti, le segnalazioni periodiche nonche' ogni dato e documento richiesti; • art. 53, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di emanare disposizioni di carattere generale in materia di organizzazione amministrativa e contabile e controlli interni delle banche; • art. 67, comma 1, lett. d), che attribuisce alla Banca d'Italia, in conformita' delle delibere del CICR, il potere di impartire alla capogruppo di un gruppo bancario disposizioni concernenti il gruppo complessivamente considerato o i suoi componenti aventi ad oggetto l'organizzazione amministrativa e contabile e i controlli interni; - dalla delibera del CICR del 2 agosto 1996, come modificata dalla delibera del 23 marzo 2004, in materia di organizzazione amministrativa e contabile e controlli interni delle banche e dei gruppi bancari; - dal decreto del Ministro dell'Economia e delle finanze, Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di compiti e poteri degli organi sociali delle banche e dei gruppi bancari; - dalle Recommendations for the security of internet payments emanate dalla BCE il 31 gennaio 2013 (32) . Si e' anche tenuto conto del documento Principles for effective risk data aggregation and risk reporting, pubblicato dal Comitato di Basilea per la vigilanza bancaria nel gennaio 2013 (33) . 3. Definizioni. Ai fini della presente disciplina si definisce: - «accountability»: l'assegnazione della responsabilita' di un'attivita' o processo aziendale, con il conseguente compito di rispondere delle operazioni svolte e dei risultati conseguiti, a una determinata figura aziendale; in ambito tecnico, si intende la garanzia di poter attribuire ciascuna operazione a soggetti (utenti o applicazioni) univocamente identificabili; - «autenticazione»: la procedura di verifica dell'identita' di un utente da parte di un sistema o servizio; - «autorizzazione»: la procedura che verifica se un cliente o un altro soggetto interno o esterno ha il diritto di compiere una certa azione, ad es. di trasferire fondi o accedere a dati sensibili; - «componente critica del sistema informativo»: il sistema o l'applicazione per i quali un incidente di sicurezza informatica puo' pregiudicare il regolare e sicuro svolgimento di funzioni operative importanti (cfr. Capitolo 7, par. 3) per l'intermediario, tra cui l'efficace espletamento dei compiti degli organi aziendali e delle funzioni di controllo; l'analisi dei rischi definisce le funzioni aziendali e le componenti del sistema informativo che presentano rischi rilevanti per la banca; - «credenziali»: le informazioni - generalmente riservate - utilizzate da un utente a fini di autenticazione ad un sistema o servizio. Sono inclusi nella definizione gli strumenti fisici che forniscono o memorizzano le informazioni (ad es., generatori di password non riutilizzabili, smart card) o qualcosa che l'utente ricorda (ad es., password) o rappresenta (ad es., caratteristiche biometriche); - «incidente di sicurezza informatica»: ogni evento che implica la violazione o l'imminente minaccia di violazione delle norme e delle prassi aziendali in materia di sicurezza delle informazioni (ad es., frodi informatiche, attacchi attraverso internet e malfunzionamenti e disservizi); - «grave incidente di sicurezza informatica»: un incidente di sicurezza informatica da cui derivi almeno una delle seguenti conseguenze: a) perdite economiche elevate o prolungati disservizi per l'intermediario, anche a seguito di ripetuti incidenti di minore entita'; b) disservizi rilevanti sulla clientela e altri soggetti (ad es., intermediari o infrastrutture di pagamento); la valutazione della gravita' considera il numero dei clienti o controparti potenzialmente coinvolti e l'ammontare a rischio; c) il rischio di inficiare la capacita' della banca di conformarsi alle condizioni e agli obblighi di legge o previsti dalla disciplina di vigilanza; - «minimo privilegio (least privilege)»: il principio che stabilisce che a ciascun utente o amministratore di sistema siano assegnate le abilitazioni strettamente necessarie allo svolgimento dei compiti assegnati; - «no single point of failure»: il principio architetturale secondo il quale l'eventuale guasto di un singolo componente di un sistema non compromette il regolare funzionamento dell'intero sistema; - «operazioni critiche»: le operazioni relative a funzioni operative importanti effettuate in ambiente di produzione che, se errate o non effettuate, possono pregiudicare il regolare funzionamento di componenti critiche del sistema informativo (con riferimento a dati, a programmi o alla configurazione del sistema) nonche' quelle che possono alterare, direttamente o indirettamente, i valori aziendali; - «procedura di contingency»: una procedura che, in caso di indisponibilita' o grave malfunzionamento del sistema, prevede il ricorso in condizioni di emergenza a strumenti a bassa integrazione nei processi aziendali (ad es., ricorrendo ad attivita' manuali) al fine di completare un insieme limitato di operazioni di particolare criticita'; - «procedura di fallback»: una procedura attivata in occasione di gravi problemi in caso di aggiornamento tecnologico o migrazione a nuove piattaforme, volta a fornire modalita' alternative per lo svolgimento delle funzioni applicative non funzionanti; - «rischio informatico (o ICT)»: il rischio di incorrere in perdite economiche, di reputazione e di quote di mercato in relazione all'utilizzo di tecnologia dell'informazione e della comunicazione (Information and Communication Technology - ICT). Nella rappresentazione integrata dei rischi aziendali a fini prudenziali (ICAAP), tale tipologia di rischio e' considerata, secondo gli specifici aspetti, tra i rischi operativi, reputazionali e strategici; - «rischio informatico residuo»: il rischio informatico a cui l'intermediario e' esposto una volta applicate le misure di attenuazione individuate nel processo di analisi dei rischi; - «risorsa informatica (o ICT)»: un bene dell'azienda afferente all'ICT che concorre alla ricezione, archiviazione, elaborazione, trasmissione e fruizione dell'informazione gestita dall'intermediario; - «segregazione dei compiti (segregation of duties)»: il principio che stabilisce che l'esecuzione di operazioni di particolare criticita' sia svolta attraverso la cooperazione di piu' utenti o amministratori di sistema con responsabilita' formalmente ripartite; - «utente responsabile»: la figura aziendale identificata per ciascun sistema o applicazione e che ne assume formalmente la responsabilita', in rappresentanza degli utenti e nei rapporti con le funzioni preposte allo sviluppo e alla gestione tecnica; - «verificabilita'»: la garanzia di poter ricostruire, all'occorrenza e anche a distanza di tempo, eventi connessi all'utilizzo del sistema informativo e al trattamento di dati. 4. Destinatari della disciplina. Le presenti disposizioni si applicano, secondo quanto stabilito nel Titolo I, Capitolo 1, Parte Seconda: - alle banche autorizzate in Italia, ad eccezione delle succursali di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un apposito elenco pubblicato e periodicamente aggiornato dalla Banca d'Italia (34) ; - alle capogruppo di gruppi bancari; - alle imprese di riferimento, secondo quanto previsto dalla Sezione VI del Capitolo 7. Sezione II GOVERNO E ORGANIZZAZIONE DEL SISTEMA INFORMATIVO 1. Premessa. Nell'ambito della generale disciplina dell'organizzazione e dei controlli interni, sono attribuiti agli organi e funzioni aziendali ruoli e responsabilita', relativi allo sviluppo e alla gestione del sistema informativo, nel rispetto del principio della separazione delle funzioni di controllo da quelle di supervisione e gestione. 2. Compiti dell'organo con funzione di supervisione strategica. L'organo con funzione di supervisione strategica assume la generale responsabilita' di indirizzo e controllo del sistema informativo, nell'ottica di un ottimale impiego delle risorse tecnologiche a sostegno delle strategie aziendali (ICT governance). In tale ambito esso: - approva le strategie di sviluppo del sistema informativo, in considerazione dell'evoluzione del settore di riferimento e in coerenza con l'articolazione in essere e a tendere dei settori di operativita', dei processi e dell'organizzazione aziendale; in tale contesto approva il modello di riferimento per l'architettura del sistema informativo; - approva la policy di sicurezza informatica (35) ; - approva le linee di indirizzo in materia di selezione del personale con funzioni tecniche e di acquisizione di sistemi, software e servizi, incluso il ricorso a fornitori esterni (cfr. Sezione VI); - promuove lo sviluppo, la condivisione e l'aggiornamento di conoscenze in materia di ICT all'interno dell'azienda; - e' informato con cadenza almeno annuale circa l'adeguatezza dei servizi erogati e il supporto di tali servizi all'evoluzione dell'operativita' aziendale, in rapporto ai costi sostenuti; e' informato tempestivamente in caso di gravi problemi per l'attivita' aziendale derivanti da incidenti e malfunzionamenti del sistema informativo. Con specifico riguardo all'esercizio della responsabilita' di supervisione della analisi del rischio informatico (cfr. Sezione III), lo stesso organo: - approva il quadro di riferimento organizzativo e metodologico per l'analisi del rischio informatico, promuovendo l'opportuna valorizzazione dell'informazione sul rischio tecnologico all'interno della funzione ICT e l'integrazione con i sistemi di misurazione e gestione dei rischi (in particolare quelli operativi, reputazionali e strategici); - approva la propensione al rischio informatico, avuto riguardo ai servizi interni e a quelli offerti alla clientela, in conformita' con gli obiettivi di rischio e il quadro di riferimento per la determinazione della propensione al rischio definiti a livello aziendale (cfr. Capitolo 7, Allegato C); - e' informato con cadenza almeno annuale sulla situazione di rischio informatico rispetto alla propensione al rischio. Nell'Allegato A, sono riportati i documenti che l'organo con funzione di supervisione strategica approva nell'ambito del suo ruolo e responsabilita' nella materia. 3. Compiti dell'organo con funzione di gestione. L'organo con funzione di gestione ha il compito di assicurare la completezza, l'adeguatezza, la funzionalita' (in termini di efficacia ed efficienza) e l'affidabilita' del sistema informativo. In particolare, tale organo: - definisce la struttura organizzativa della funzione ICT (ove presente) (36) assicurandone nel tempo la rispondenza alle strategie e ai modelli architetturali definiti dall'organo con funzione di supervisione strategica; garantisce il corretto dimensionamento quali-quantitativo delle risorse umane; - definisce l'assetto organizzativo, metodologico e procedurale per il processo di analisi del rischio informatico, perseguendo un opportuno livello di raccordo con la funzione di risk management per i processi di stima del rischio operativo; - tranne che nel caso di full outsourcing, approva il disegno dei processi di gestione del sistema informativo, garantendo l'efficacia ed efficienza dell'impianto nonche' la complessiva completezza e coerenza, con particolare riguardo ad una funzionale assegnazione di compiti e responsabilita', alla robustezza dei controlli, alla validita' del supporto metodologico e procedurale; - approva gli standard di data governance, le procedure di gestione dei cambiamenti e degli incidenti (ove del caso, in raccordo con le procedure del fornitore di servizi) e, di norma con cadenza annuale, il piano operativo delle iniziative informatiche, verificandone la coerenza con le esigenze informative e di automazione delle linee di business nonche' con le strategie aziendali; - valuta almeno annualmente le prestazioni della funzione ICT rispetto alle strategie e agli obiettivi fissati, in termini di rapporto costi / benefici o utilizzando sistemi integrati di misurazione delle prestazioni (37) , assumendo gli opportuni interventi e iniziative di miglioramento; - approva almeno annualmente la valutazione del rischio delle componenti critiche nonche' la relazione sull'adeguatezza e costi dei servizi ICT, informando a tale riguardo l'organo con funzione di supervisione strategica; in tale ambito, riscontra la complessiva situazione del rischio informatico in rapporto alla propensione al rischio definita, disponendo allo scopo di idonei flussi informativi concernenti, come minimo, il livello di rischio residuo per le diverse risorse informatiche, lo stato di implementazione dei presidi di attenuazione del rischio (cfr. Sezione III), l'evoluzione delle minacce connesse con l'utilizzo di ICT nonche' gli incidenti registratisi nel periodo di riferimento; - monitora il regolare svolgimento dei processi di gestione e di controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in atto opportune azioni correttive; - assume decisioni tempestive in merito a gravi incidenti di sicurezza informatica (cfr. Sezione IV) e fornisce informazioni all'organo con funzione di supervisione strategica in caso di gravi problemi per l'attivita' aziendale derivanti da incidenti e malfunzionamenti. In relazione alla responsabilita' e ai compiti assegnati, l'organo con funzione di gestione e' dotato di competenze tecnico-manageriali, tenuto conto della dimensione, complessita' e articolazione organizzativa dell'intermediario nonche' delle strategie di sourcing. Nell'Allegato A sono riportati le procedure, gli standard e i piani soggetti all'approvazione dell'organo con funzione di gestione. 4. Organizzazione della funzione ICT. L'articolazione organizzativa della funzione ICT dipende da fattori quali la complessita' della struttura societaria, la dimensione, i settori di attivita', le strategie di business e gestionali. Essa si ispira a criteri di funzionalita', efficienza e sicurezza, definendo chiaramente compiti e responsabilita' e contemplando in particolare: - linee di riporto dirette a livello dell'organo con funzione di gestione (38) a garanzia dell'unitarieta' della visione gestionale e del rischio informatico nonche' dell'uniformita' di applicazione delle norme riguardanti il sistema informativo; eventuali unita' di sviluppo decentrato sotto il controllo delle linee di business sono comunque inquadrate nel piu' generale disegno architetturale e agiscono nell'ambito di regole definite a livello aziendale; - le responsabilita' e gli assetti connessi con la pianificazione e il controllo del portafoglio dei progetti informatici, con il governo dell'evoluzione dell'architettura e dell'innovazione tecnologica nonche' con le attivita' di gestione del sistema informativo (39) ; - la realizzazione degli opportuni meccanismi di raccordo con le linee di business, con particolare riguardo alle attivita' di individuazione e pianificazione delle iniziative informatiche (regolare rilevazione delle esigenze di servizi informatici e promozione delle opportunita' tecnologiche offerte dall'evoluzione del sistema informativo). 5. La sicurezza informatica. La funzione di sicurezza informatica e' deputata allo svolgimento dei compiti specialistici in materia di sicurezza delle risorse ICT. In particolare: - segue la redazione e l'aggiornamento delle policy di sicurezza e delle istruzioni operative; - assicura la coerenza dei presidi di sicurezza con le policy approvate; - partecipa alla progettazione, realizzazione e manutenzione dei presidi di sicurezza dei data center; - partecipa alla valutazione del rischio potenziale nonche' all'individuazione dei presidi di sicurezza nell'ambito del processo di analisi del rischio informatico (cfr. Sezione III); - assicura il monitoraggio nel continuo delle minacce applicabili alle diverse risorse informatiche (cfr. Sezione IV, par. 3); - segue lo svolgimento dei test di sicurezza prima dell'avvio in produzione di un sistema nuovo o modificato (cfr. Sezione IV, par. 5). Nelle realta' piu' complesse, l'indipendenza di giudizio rispetto alle funzioni operative e' assicurata da un'adeguata collocazione organizzativa. 6. Il controllo del rischio informatico e la compliance ICT. Nell'ambito del sistema dei controlli interni sono chiaramente assegnate responsabilita' in merito allo svolgimento dei seguenti compiti di controllo di secondo livello: - il controllo dei rischi, basato su flussi informativi continui in merito all'evoluzione del rischio informatico e sul monitoraggio dell'efficacia delle misure di protezione delle risorse ICT. La gestione del complessivo rischio informatico si raccorda con il processo di analisi sulle singole risorse ICT (cfr. Sezione III). Le valutazioni svolte sono documentate e riviste in rapporto ai risultati del monitoraggio e comunque almeno una volta l'anno. Con riferimento alle banche con un modello interno validato sul rischio operativo, i dati sulle perdite operative in ambito ICT sono integrati con i dati e gli scenari relativi alle altre funzioni aziendali, e ne sono presidiati la qualita' e completezza; - il rispetto dei regolamenti interni e delle normative esterne in tema di ICT (ICT compliance) garantendo, tra l'altro: • l'assistenza su aspetti tecnici in caso di questioni legali relative al trattamento dei dati personali; • la coerenza degli assetti organizzativi alle normative esterne, per le parti relative al sistema informativo; • l'analisi di conformita' dei contratti di outsourcing e con fornitori (inclusi i contratti infra-gruppo). 7. Compiti della funzione di revisione interna. L'internal audit dispone - al suo interno o mediante il ricorso a risorse esterne (40) - delle competenze specialistiche necessarie per assolvere ai propri compiti di assurance attinenti al sistema informativo aziendale (ICT audit). La pianificazione degli interventi ispettivi assicura nel tempo un'adeguata copertura delle varie applicazioni, infrastrutture e processi di gestione, incluse le eventuali componenti esternalizzate (41) . A prescindere dalla forma adottata per gli accertamenti (ad es., audit mirati ovvero verifiche sulle applicazioni e componenti del sistema informativo nell'ambito di ispezioni su strutture organizzative o processi produttivi), l'internal audit e' in grado di fornire valutazioni sui principali rischi tecnologici identificabili e sulla complessiva gestione del rischio informatico dell'intermediario. Sezione III L'ANALISI DEL RISCHIO INFORMATICO L'analisi del rischio informatico costituisce uno strumento a garanzia dell'efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio dell'intermediario. Il processo di analisi e' svolto con il concorso dell'utente responsabile (42) , del personale della funzione ICT, delle funzioni di controllo dei rischi, di sicurezza informatica e, ove opportuno, dell'audit, secondo metodologie e responsabilita' formalmente definite dall'organo con funzione di gestione. Esso si compone delle seguenti fasi: - la valutazione del rischio potenziale cui sono esposte le risorse informatiche esaminate; tale attivita' interessa tutte le iniziative di sviluppo di nuovi progetti e di modifica rilevante del sistema informativo (43) . Tale fase prende l'avvio con la classificazione delle risorse ICT (44) in termini di rischio informatico (45) ; - il trattamento del rischio, volto a individuare, se necessario, misure di attenuazione - di tipo tecnico o organizzativo - idonee a contenere il rischio potenziale. L'analisi determina il rischio residuo da sottoporre ad accettazione formale dell'utente responsabile (46) . Qualora il rischio residuo ecceda la propensione al rischio informatico, approvato dall'organo con funzione di supervisione strategica (cfr. Sezione II, par. 2), l'analisi propone l'adozione di misure alternative o ulteriori di trattamento del rischio (47) , definite con il coinvolgimento della funzione di controllo dei rischi e sottoposte all'approvazione dell'organo con funzione di gestione. Per le procedure in esercizio, per le quali non e' stata svolta un'analisi del rischio in fase di sviluppo, e' comunque prevista una valutazione integrativa, al fine di individuare eventuali presidi in aggiunta a quelli gia' in essere, da attuare secondo uno specifico piano di implementazione. I tempi di attuazione del piano e i presidi compensativi di tipo organizzativo o procedurale nelle more dell'attuazione, sono documentati e sottoposti all'accettazione formale dell'utente responsabile. I risultati del processo (livelli di classificazione, rischi potenziali e residui, lista delle minacce considerate, elenco dei presidi individuati), ogni loro aggiornamento successivo, le assunzioni operate e le decisioni assunte, sono documentati e portati a conoscenza dell'organo con funzione di gestione. Il processo di analisi del rischio e' ripetuto con periodicita' adeguata alla tipologia delle risorse ICT e dei rischi e, comunque, in presenza di situazioni che possono influenzare il complessivo livello di rischio informatico (48) . Sezione IV LA GESTIONE DELLA SICUREZZA INFORMATICA 1. Premessa. La gestione della sicurezza informatica comprende i processi e le misure volti, in raccordo con la generale azione aziendale per preservare la sicurezza delle informazioni e dei beni aziendali, a garantire a ciascuna risorsa informatica una protezione, in termini di riservatezza, integrita', disponibilita', verificabilita' e accountability, appropriata e coerente lungo l'intero ciclo di vita. Obiettivo di tale processo e' anche di contribuire alla conformita' del sistema informativo alle norme di legge e a regolamenti interni ed esterni. La struttura dei processi e l'intensita' dei presidi da porre in atto dipende dalle risultanze del processo di analisi dei rischi (cfr. Sezione III). 2. Policy di sicurezza. La policy di sicurezza informatica e' approvata dall'organo con funzione di supervisione strategica e comunicata a tutto il personale e alle terze parti coinvolte nella gestione di informazioni e componenti del sistema informativo. Essa riporta: - gli obiettivi del processo di gestione della sicurezza informatica in linea con la propensione al rischio informatico definito a livello aziendale (cfr. Sezione II, par. 2); tali obiettivi sono espressi in termini di esigenze di protezione e di controllo del rischio tecnologico; - i principi generali di sicurezza sull'utilizzo e la gestione del sistema informativo da parte dei diversi profili aziendali; - i ruoli e le responsabilita' connessi alla funzione di sicurezza informatica nonche' all'aggiornamento e verifica delle policy; - il quadro di riferimento organizzativo e metodologico dei processi di gestione dell'ICT deputati a garantire l'appropriato livello di protezione; - le linee di indirizzo per le attivita' di comunicazione, formazione e sensibilizzazione delle diverse classi di utenti; - un richiamo alle norme interne che disciplinano le conseguenze di violazioni rilevate della policy da parte del personale; - un richiamo alle norme di legge e alle altre normative esterne applicabili inerenti alla sicurezza di informazioni e risorse ICT, incluse le norme riportate nella presente Sezione. La policy di sicurezza puo' fare riferimento a documenti di maggiore dettaglio, ad es. linee guida o manuali operativi in tema di configurazioni e procedure di sicurezza per particolari componenti e applicazioni; policy dedicata per i servizi di pagamento via internet; norme per il corretto utilizzo di applicazioni aziendali trasversali, quali la posta elettronica e la navigazione internet. La regolare revisione della policy di sicurezza tiene conto dell'evoluzione del campo di attivita', dei prodotti forniti, delle tecnologie e dei rischi fronteggiati dall'intermediario (cfr. Sezione III). 3. La sicurezza delle informazioni e delle risorse ICT. La sicurezza delle informazioni e delle risorse informatiche e' garantita attraverso misure di protezione a livello fisico e logico, la cui intensita' di applicazione e' graduata in relazione alle risultanze della valutazione del rischio (classificazione delle risorse informatiche in termini di sicurezza). Tali misure sono distribuite su diversi strati, cosi' che un'eventuale falla in una linea di difesa sia coperta dalla successiva («difesa in profondita'»), comprendendo: - i presidi fisici di difesa e le procedure di autorizzazione e controllo per l'accesso fisico a sistemi e dati (ad es., barriere perimetrali con punti di ingresso vigilati, locali ad accesso controllato con registrazione degli ingressi e delle uscite); - la regolamentazione dell'accesso logico a reti, sistemi, basi di dati sulla base delle effettive esigenze operative (principio del need to know); i diritti di accesso sono accordati, mediante ricorso ad opportuni profili abilitativi, previa formale autorizzazione; l'elenco degli utenti abilitati e' sottoposto a verifica con periodicita' definita; - la procedura di autenticazione per l'accesso alle applicazioni e ai sistemi; in particolare sono garantiti l'univoca associazione a ciascun utente delle proprie credenziali di accesso, il presidio della riservatezza dei fattori di autenticazione (49) , l'osservanza degli standard definiti all'interno nonche' delle normative applicabili, ad es. in materia di composizione e gestione della password, di limiti ai tentativi di accesso, di lunghezza di chiavi crittografiche; - la segmentazione della rete di telecomunicazione, con controllo dei flussi scambiati, in particolare tra domini connotati da diversi livelli di sicurezza (ad es., sistemi e utenti interni, applicazioni core, sistemi e utenti esterni); l'accesso a sistemi e servizi critici tramite canali pubblici (ad es., nel caso dell'e-banking tramite internet) sono presidiati in modo da soddisfare rigorosi requisiti di sicurezza e fornire un livello di protezione conforme ai rischi da fronteggiare (50) ; - l'adozione di metodologie e tecniche per lo sviluppo sicuro del software quale possibile presidio di difesa per componenti valutate nell'analisi del rischio informatico a un livello di rischio potenziale elevato; - la separazione degli ambienti di sviluppo, collaudo e produzione, con adeguata formalizzazione del passaggio di moduli software tra di essi (par. 5), al fine di evitare - di norma - l'accesso a dati riservati e componenti critiche da parte del personale addetto allo sviluppo (51) ; l'ambiente di produzione e' sottoposto a misure piu' restrittive di controllo degli accessi e delle modifiche; - i criteri per la selezione e la gestione del personale adibito al trattamento dei dati e allo svolgimento di operazioni critiche (amministratori di sistema e utenti privilegiati) con particolare riguardo alla valutazione delle competenze e dell'affidabilita' del personale, alla stipula di specifici impegni di riservatezza nonche' alla gestione nel continuo delle mansioni assegnate (ad es., per mezzo di verifiche periodiche degli elenchi del personale abilitato e di misure di job rotation); - le procedure per lo svolgimento delle operazioni critiche, garantendo il rispetto dei principi del minimo privilegio e della segregazione dei compiti (ad es., specifiche procedure di abilitazione e di autenticazione, controlli di tipo four eyes (52) , o di verifica giornaliera ex post); - il monitoraggio, anche attraverso l'analisi di log e tracce di audit, di accessi, operazioni e altri eventi al fine di prevenire e gestire gli incidenti di sicurezza informatica; le attivita' degli amministratori di sistema e altri utenti privilegiati delle componenti critiche sono sottoposte a stretto controllo; - il monitoraggio continuativo delle minacce e delle vulnerabilita' di sicurezza; - le regole di tracciabilita' delle azioni svolte, finalizzate a consentire la verifica a posteriori delle operazioni critiche, con l'archiviazione dell'autore, data e ora (53) , contesto operativo e altre caratteristiche salienti della transazione. Le tracce elettroniche sono conservate per un periodo non inferiore a 24 mesi in archivi non modificabili o le cui modifiche sono puntualmente registrate. 4. La sicurezza delle applicazioni sviluppate dalle unita' operative e di controllo. Lo sviluppo di applicazioni direttamente in carico alle unita' operative e di controllo e' sottoposto a misure di natura organizzativa e metodologica, tese a garantire un livello di sicurezza comparabile con le applicazioni sviluppate dalla funzione ICT. Un periodico monitoraggio censisce le applicazioni sviluppate con strumenti di informatica d'utente e ne verifica la rispondenza alla policy di sicurezza, in particolare se utilizzate in attivita' rilevanti quali la predisposizione dei dati di bilancio, del risk management, della finanza e del reporting direzionale, al fine di contenere il rischio operativo (54) . 5. La gestione dei cambiamenti. La procedura di gestione dei cambiamenti delle applicazioni e risorse ICT e' formalmente definita e garantisce il controllo su modifiche, sostituzioni o adeguamenti tecnologici, in particolare nell'ambiente di produzione. Il processo si svolge sotto la responsabilita' di una figura o struttura aziendale con elevato grado di indipendenza rispetto alla funzione di sviluppo e prevede, in modo proporzionato alla complessita' e al profilo di rischio tecnologico dell'intermediario: - la predisposizione e il costante aggiornamento nel tempo di un inventario o mappa del patrimonio ICT (hardware, software, dati, procedure) (55) ; - la valutazione dell'impatto dei cambiamenti sul sistema e dei rischi correlati con le proposte di modifica; - l'autorizzazione formale di ogni cambiamento in ambiente di produzione (56) ; tale procedura comprende l'accettazione, nei casi critici individuati nell'analisi dei rischi, nel nuovo rischio residuo; - la pianificazione, il coordinamento e la documentazione degli interventi di modifica, prevedendo attivita' di collaudo e test di sicurezza, in un ambiente deputato e distinto da quello di produzione; - il ricorso a un idoneo sistema di gestione della configurazione di sistema (hardware, software, procedure di gestione e utilizzo, modalita' di interconnessione), per il controllo dell'implementazione dei cambiamenti, inclusa la possibilita' di ripristino della situazione ex ante. Le modifiche in caso di emergenza possono essere gestite con presidi non pienamente conformi alle policy ordinarie ma comunque adeguati alla particolare situazione. Tali modifiche sono comunque sottoposte a tracciamento e notificate ex post all'utente responsabile. Le iniziative di ampio impatto sul sistema informativo (ad es., modifiche rilevanti sulle componenti critiche, adeguamenti in conseguenza di fusioni o scissioni, migrazione ad altre piattaforme informatiche) - che si inseriscono di norma in piani strategici all'attenzione dell'organo con funzione di supervisione strategica - sono preventivamente comunicate alla Banca d'Italia e prevedono, in aggiunta a quanto sopra specificato, idonee misure, tecniche, organizzative e procedurali, volte a garantire un avvio in esercizio controllato e con limitati impatti sui servizi forniti alla clientela (ad es., implementazione per stadi successivi, periodi di esercizio in parallelo con la precedente procedura, procedure di fallback e contingency). Flussi informativi verso i vari livelli manageriali e gli organi aziendali consentono il monitoraggio dell'avanzamento del progetto.