Con il presente aggiornamento sono inseriti nel Titolo V della
Circolare n. 263 del 27 dicembre 2006 «Nuove disposizioni di
vigilanza prudenziale per le banche» il Capitolo 7 «Il sistema dei
controlli interni», il Capitolo 8 «Il sistema informativo» e il
Capitolo 9 «La continuita' operativa».
Il Capitolo 7 definisce un quadro organico di principi e regole
cui deve essere ispirato il sistema dei controlli interni, senza
tuttavia esaurire le disposizioni organizzative applicabili alle
banche. Le disposizioni ivi contenute, infatti, rappresentano la
cornice di riferimento nella quale si inquadrano le regole sui
controlli dettate all'interno di specifici ambiti disciplinari (ad
es., regole organizzative in materia di gestione di singoli profili
di rischio, di sistemi interni di misurazione dei rischi per il
calcolo dei requisiti patrimoniali, di processo ICAAP, di prevenzione
del rischio di riciclaggio) (c.d. modello «hub and spokes»).
Le disposizioni introducono alcune novita' di rilievo rispetto al
vigente quadro normativo, al fine di dotare le banche di un sistema
dei controlli interni completo, adeguato, funzionale e affidabile.
In particolare, le nuove norme enfatizzano il ruolo dell'organo
con funzione di supervisione strategica nella definizione del modello
di business e del Risk Appetite Framework; a tale organo e' richiesto
anche di favorire la diffusione di una cultura dei controlli
attraverso l'approvazione di un codice etico al quale sono tenuti a
uniformarsi i componenti degli organi aziendali e i dipendenti.
All'organo con funzione di gestione e' invece richiesto di avere
un'approfondita comprensione di tutti i rischi aziendali e,
nell'ambito di una gestione integrata, delle loro interrelazioni
reciproche e con l'evoluzione del contesto esterno (incluso il
rischio macroeconomico).
Le disposizioni richiedono ai vertici delle banche di porre
particolare attenzione alla definizione delle politiche e dei
processi aziendali di maggiore rilievo, quali quelli riguardanti: la
gestione dei rischi; la valutazione delle attivita' aziendali;
l'approvazione di nuovi prodotti/servizi o dell'avvio di nuove
attivita' nonche' dell'inserimento in nuovi mercati; lo sviluppo e la
convalida dei modelli interni di misurazione dei rischi non
utilizzati a fini regolamentari.
La disciplina delle funzioni aziendali di controllo (internal
audit, compliance e risk management) e' stata profondamente
rivisitata; in particolare:
- la nomina e la revoca dei responsabili delle funzioni aziendali
di controllo sono di competenza esclusiva dell'organo con funzione di
supervisione strategica, sentito l'organo con funzione di controllo;
- i responsabili della funzione di controllo dei rischi (c.d.
Chief Risk Officer) e della funzione di conformita' alle norme sono
posti, almeno, alle dipendenze dell'organo con funzione di gestione,
ferma restando la loro prerogativa di avere accesso diretto
all'organo con funzione di supervisione strategica e all'organo con
funzione di controllo. Il responsabile della funzione di revisione
interna e', invece, sempre collocato a riporto gerarchico dell'organo
con funzione di supervisione strategica;
- le tre funzioni aziendali di controllo sono indipendenti dalle
aree di business e fra loro separate. Se coerente con il principio di
proporzionalita', e' consentito alle banche di istituire un'unica
funzione di conformita' alle norme e di controllo dei rischi, ferma
restando l'esigenza di mantenere in ogni caso separata la funzione di
revisione interna per assicurare l'imparzialita' dei controlli di
audit sulle altre funzioni di controllo;
- i poteri della funzione di risk management sono stati
rafforzati. La funzione, oltre a collaborare alla definizione del
RAF, e' chiamata, tra l'altro, a fornire pareri preventivi sulla
coerenza delle operazioni di maggiore rilievo con il RAF stesso. In
caso di parere negativo, la decisione sull'operazione e' rimessa
all'organo con funzione di gestione;
- nell'ambito della disciplina sulla conformita' alle norme -
fermo restando che il presidio sul rischio di non conformita' svolto
dalla funzione di compliance si riferisce a tutte le disposizioni
applicabili alle banche, incluse quelle di natura fiscale - il
coinvolgimento della funzione e' graduato in relazione sia al rilievo
che le singole norme hanno per l'attivita' svolta e per le
conseguenze della loro violazione sia all'esistenza all'interno della
banca di altre forme di presidio specializzato a fronte del rischio
di non conformita' relativo a specifiche normative.
Per assicurare il coordinamento e l'interazione tra le varie
funzioni e organi con compiti di controllo (previsti dalla normativa
societaria, contabile o di vigilanza), l'organo con funzione di
supervisione strategica approva uno specifico documento in cui sono
precisati compiti, responsabilita' e modalita' di
coordinamento/collaborazione tra le varie funzioni di controllo
coinvolte.
E' stata, poi, introdotta una disciplina organica in materia di
esternalizzazione. Le banche sono tenute a presidiare attentamente i
rischi derivanti dall'esternalizzazione, mantenendo la capacita' di
controllo e la responsabilita' delle attivita' esternalizzate nonche'
le competenze essenziali per re-internalizzare le stesse in caso di
necessita'. Disposizioni specifiche riguardano le condizioni per
esternalizzare funzioni aziendali importanti o di controllo.
Requisiti meno stringenti sono invece previsti nel caso di
esternalizzazione all'interno di un gruppo bancario. Due specifici
procedimenti amministrativi sono stati definiti per il divieto
dell'esternalizzazione di funzioni operative importanti o di
controllo, rispettivamente, al di fuori o all'interno del gruppo
bancario (cfr. Sezioni IV e V); tali procedimenti integrano il
Provvedimento del 25 giugno 2008, in materia di individuazione dei
termini e delle unita' organizzative responsabili dei procedimenti
amministrativi di competenza della Banca d'Italia.
Il Capitolo 8 contiene la disciplina del sistema informativo che
e' stata integralmente rivista, anche per recepire le principali
evoluzioni emerse nel panorama internazionale. Sono stati, tra
l'altro, disciplinati: la governance e l'organizzazione del sistema
informativo; la gestione del rischio informatico; i requisiti per
assicurare la sicurezza informatica e il sistema di gestione dei
dati. Le disposizioni, inoltre, prevedono che nella definizione dei
presidi di sicurezza per l'accesso a sistemi e servizi critici
tramite il canale internet trovino applicazione le Raccomandazioni
della BCE in materia di sicurezza dei pagamenti in internet.
Il Capitolo 9 disciplina la materia della continuita' operativa,
riorganizzando le disposizioni attualmente contenute in diverse
fonti. Tra le novita' di maggiore rilievo, vi e' la formalizzazione
del ruolo del CODISE, struttura per il coordinamento della gestione
delle crisi operative della piazza finanziaria italiana presieduta
dalla Banca d'Italia. Inoltre, e' stato definito un processo di
rapida escalation da incidente a emergenza in modo da assicurare che
la dichiarazione dello stato di crisi avvenga nel minor tempo
possibile dalla rilevazione dell'incidente. Il tempo complessivo di
ripristino non dovra' superare le quattro ore, inclusi i tempi per le
fasi di analisi, decisionali, intervento tecnico e verifica.
Le presenti disposizioni sono state sottoposte a consultazione
pubblica e ad analisi di impatto della regolamentazione. Nel sito
internet della Banca d'Italia sono pubblicati il resoconto della
consultazione, la relazione sull'analisi di impatto e le osservazioni
pervenute nella fase di consultazione.
Il presente aggiornamento entra in vigore il giorno di
pubblicazione sul sito internet della Banca d'Italia.
Le banche si conformano alle disposizioni contenute nel Capitolo
7 (Il sistema dei controlli interni) entro il 1° luglio 2014 (data di
efficacia), fatto salvo quanto segue:
- con riferimento alle funzioni aziendali di controllo di secondo
livello (risk management e compliance), le banche si conformano entro
il 1° luglio 2015 (data di efficacia) a quanto previsto dalla Sezione
III, par. 1, lett. b), secondo alinea, secondo periodo («linee di
riporto dei responsabili di tali funzioni»);
- con riferimento all'esternalizzazione di funzioni aziendali
(Sezioni IV e V), le banche adeguano i contratti di esternalizzazione
in essere alla data di entrata in vigore delle presenti disposizioni
alla prima scadenza contrattuale e comunque entro tre anni
dall'entrata in vigore (1° luglio 2016).
Le banche si conformano alle disposizioni contenute nel Capitolo
8 (Il sistema informativo), incluse le raccomandazioni della BCE in
materia di sicurezza dei pagamenti in internet, entro il 1° febbraio
2015 (data di efficacia). Le banche adeguano i contratti di
esternalizzazione del sistema informativo (Sezione VI) in essere alla
data di entrata in vigore delle presenti disposizioni alla prima
scadenza contrattuale e comunque entro tre anni dall'entrata in
vigore (1° luglio 2016).
Le banche si conformano alle disposizioni contenute nel Capitolo
9 (La continuita' operativa) entro il 1° luglio 2014 (data di
efficacia).
Entro il 31 dicembre 2013 i destinatari della presente disciplina
inviano alla Banca d'Italia una relazione recante un'autovalutazione
della propria situazione aziendale rispetto alle previsioni della
nuova normativa (gap analysis). La relazione indica altresi' le
misure da adottare e la relativa scansione temporale per assicurare
il pieno rispetto delle presenti disposizioni. Entro la stessa data,
le banche comunicano alla Banca d'Italia i contratti di
esternalizzazione in essere alla data di entrata in vigore delle
presenti disposizioni e la relativa durata.
Dalla data di efficacia delle norme contenute nei Capitoli 7 (Il
sistema dei controlli interni), 8 (Il sistema informativo) e 9 (La
continuita' operativa) sono abrogate le seguenti disposizioni:
- Sistema dei controlli interni, compiti del collegio sindacale,
contenute nelle «Istruzioni di vigilanza per le banche», Circolare n.
229 del 21 aprile 1999, Titolo IV, Capitolo 11, ad eccezione della
Sezione V (Emissione e gestione di assegni bancari e postali);
- Continuita' operativa in casi di emergenza (Comunicazione del
luglio 2004, cfr. Bollettino di vigilanza n. 7 - luglio 2004);
- La gestione e il controllo dei rischi. Ruolo degli organi
aziendali, contenute nelle «Nuove disposizioni di vigilanza
prudenziale per le banche», Circolare n. 263 del 27 dicembre 2006,
Titolo I, Capitolo I, Parte Quarta;
- Disposizioni di vigilanza - Requisiti particolari per la
continuita' operativa dei processi a rilevanza sistemica
(Comunicazione del marzo 2007, cfr. Bollettino di vigilanza n. 3 -
marzo 2007);
- Disposizioni di vigilanza - Esternalizzazione del trattamento
del contante (Comunicazione del 7 maggio 2007), limitatamente agli
aspetti concernenti le banche e le capogruppo di gruppi bancari;
- Disposizioni di vigilanza - la funzione di conformita'
(compliance) (Comunicazione del luglio 2007, cfr. Bollettino di
vigilanza n. 7 - luglio 2007);
- Comunicazione del 30 dicembre 2008 - Valutazione del merito di
credito (cfr. Bollettino di vigilanza n. 12 - dicembre 2008),
limitatamente agli aspetti concernenti le banche e le capogruppo di
gruppi bancari.
Il testo dell'aggiornamento e' disponibile sul sito informatico
della Banca d'Italia all'indirizzo:
http://www.bancaditalia.it/vigilanza/banche/normativa/disposizion
i/vigprud.
TITOLO V
Capitolo 7
IL SISTEMA DEI CONTROLLI INTERNI
Sezione I
DISPOSIZIONI PRELIMINARI E PRINCIPI GENERALI
1. Premessa.
Il sistema dei controlli interni e' un elemento fondamentale del
complessivo sistema di governo delle banche; esso assicura che
l'attivita' aziendale sia in linea con le strategie e le politiche
aziendali e sia improntata a canoni di sana e prudente gestione.
Le presenti disposizioni definiscono i principi e le linee guida
cui il sistema dei controlli interni delle banche si deve uniformare;
in quest'ambito, sono definiti i principi generali di organizzazione,
indicati il ruolo e i compiti degli organi aziendali, delineate le
caratteristiche e i compiti delle funzioni aziendali di controllo.
La presente disciplina:
- rappresenta la cornice generale del sistema dei controlli
aziendali. In materia di istituti di vigilanza prudenziale, essa e'
integrata e completata dalle specifiche disposizioni previste in
materia (tecniche di attenuazione del rischio di credito ed
operazioni di cartolarizzazione, processo ICAAP, informativa al
pubblico, concentrazione dei rischi, gestione e controllo del rischio
di liquidita', obbligazioni bancarie garantite, partecipazioni
detenibili, attivita' di rischio e conflitti di interesse nei
confronti di soggetti collegati, ecc.). Inoltre, alle banche che
utilizzano, a fini prudenziali, sistemi interni di misurazione dei
rischi diversi da quelli di base o standardizzati, si applicano anche
le norme in materia di organizzazione e controlli interni previste
dai rispettivi capitoli;
- forma parte integrante del complesso di norme concernenti gli
assetti di governo e controllo delle banche, quali le disposizioni di
natura organizzativa in materia di: governo societario; information
and communication technology; assetti proprietari; requisiti degli
esponenti aziendali; trasparenza e correttezza delle relazioni tra
banche e clienti; attivita' e servizi di investimento (1) ;
prevenzione dell'utilizzo degli intermediari e degli altri soggetti
che svolgono attivita' finanziaria a fini di riciclaggio e di
finanziamento del terrorismo; usura.
I presidi relativi al sistema dei controlli interni devono
coprire ogni tipologia di rischio aziendale. La responsabilita'
primaria e' rimessa agli organi aziendali, ciascuno secondo le
rispettive competenze. L'articolazione dei compiti e delle
responsabilita' degli organi e delle funzioni aziendali deve essere
chiaramente definita.
Le banche applicano le disposizioni secondo il principio di
proporzionalita', cioe' tenuto conto della dimensione e complessita'
operative, della natura dell'attivita' svolta, della tipologia dei
servizi prestati.
La Banca d'Italia, nell'ambito del processo di revisione e
valutazione prudenziale, verifica la completezza, la adeguatezza, la
funzionalita' (in termini di efficienza ed efficacia), la
affidabilita' del sistema dei controlli interni delle banche.
2. Fonti normative.
La materia e' regolata:
- dalla direttiva del Parlamento europeo e del Consiglio
2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti
creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle
imprese di investimento, che modifica la direttiva 2002/87/CE e
abroga le direttive 2006/48/CE e 2006/49/CE;
- dal Regolamento del Parlamento europeo e del Consiglio
2013/575/UE del 26 giugno 2013, relativo ai requisiti prudenziali per
gli enti creditizi e le imprese di investimento e che modifica il
regolamento (UE) n. 648/2012;
- dai seguenti articoli del TUB:
• art. 51, il quale prevede che le banche inviino alla Banca
d'Italia, con le modalita' e i tempi da essa stabiliti, le
segnalazioni periodiche nonche' ogni dato e documento richiesti;
• art. 53, comma 1, lett. d), che attribuisce alla Banca
d'Italia, in conformita' delle delibere del CICR, il potere di
emanare disposizioni di carattere generale in materia di
organizzazione amministrativa e contabile e controlli interni delle
banche;
• art. 67, comma 1, lett. d), che attribuisce alla Banca
d'Italia, in conformita' delle delibere del CICR, il potere di
impartire alla capogruppo di un gruppo bancario disposizioni
concernenti il gruppo complessivamente considerato o i suoi
componenti aventi ad oggetto l'organizzazione amministrativa e
contabile e i controlli interni;
- dalla delibera del CICR del 2 agosto 1996, come modificata
dalla delibera del 23 marzo 2004, in materia di organizzazione
amministrativa e contabile e controlli interni delle banche e dei
gruppi bancari;
- dal decreto del Ministro dell'Economia e delle finanze,
Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di
compiti e poteri degli organi sociali delle banche e dei gruppi
bancari;
- dalla decisione della BCE del 16 settembre 2010, n. 14,
relativa al controllo dell'autenticita' e dell'idoneita' delle
banconote in euro e al loro ricircolo;
Si tiene anche conto dei seguenti documenti pubblicati da
istituzioni comunitarie e organismi internazionali: EBA/CEBS:
«Guidelines on the Application of the Supervisory Review Process
under Pillar 2», 25 gennaio 2006; «Guidelines on outsourcing», 14
dicembre 2006; «Guidelines on the management of operational risks in
market-related activities», 12 ottobre 2010; «Guidelines on Internal
Governance», 27 settembre 2011; Basel Committee on Banking
Supervision: «Fair value measurement and modelling: An assessment of
challenges and lessons learned from market stress», giugno 2008;
«Principle for enhancing corporate governance», ottobre 2010; «The
internal audit function in banks», giugno 2012; «Core Principles for
Effective Banking Supervision», settembre 2012; Financial Stability
Board: «Enhancing Market and Institutional Resilience», 7 aprile
2008; «Thematic Review on Risk Governance», 12 febbraio 2013;
European Systemic Risk Board (ESRB): «Raccomandazione in materia di
prestiti in valuta estera (ESRB/2011/1)», 21 settembre 2011.
3. Definizioni.
Ai fini delle presenti disposizioni si intendono per:
a) «organo con funzione di supervisione strategica»: l'organo
aziendale a cui - ai sensi del codice civile o per disposizione
statutaria - sono attribuite funzioni di indirizzo della gestione
dell'impresa, mediante, tra l'altro, esame e delibera in ordine ai
piani industriali o finanziari ovvero alle operazioni strategiche;
b) «organo con funzione di gestione»: l'organo aziendale o i
componenti di esso a cui - ai sensi del codice civile o per
disposizione statutaria - spettano o sono delegati compiti di
gestione corrente, intesa come attuazione degli indirizzi deliberati
nell'esercizio della funzione di supervisione strategica. Il
direttore generale rappresenta il vertice della struttura interna e
come tale partecipa alla funzione di gestione;
c) «organo con funzione di controllo»: il collegio sindacale, il
consiglio di sorveglianza o il comitato per il controllo sulla
gestione;
d) «organi aziendali»: il complesso degli organi con funzioni di
supervisione strategica, di gestione e di controllo. La funzione di
supervisione strategica e quella di gestione attengono,
unitariamente, alla gestione dell'impresa e possono quindi essere
incardinate nello stesso organo aziendale. Nei sistemi dualistico e
monistico, in conformita' delle previsioni legislative, l'organo con
funzione di controllo puo' svolgere anche quella di supervisione
strategica;
e) «funzione aziendale»: l'insieme dei compiti e delle
responsabilita' assegnate per l'espletamento di una determinata fase
dell'attivita' aziendale. Sulla base della rilevanza della fase
svolta, la funzione e' incardinata presso una specifica unita'
organizzativa;
f) «funzione antiriciclaggio»: la funzione definita dal
Provvedimento della Banca d'Italia del 10 marzo 2011 recante
disposizioni attuative in materia di organizzazione, procedure e
controlli interni volti a prevenire l'utilizzo degli intermediari e
degli altri soggetti che svolgono attivita' finanziaria a fini di
riciclaggio e di finanziamento del terrorismo, ai sensi dell'art. 7
comma 2 del Decreto Legislativo 21 novembre 2007, n. 231, Capitolo
II, Sezione I;
g) «funzioni aziendali di controllo»: la funzione di conformita'
alle norme (compliance), la funzione di controllo dei rischi (risk
management function) e la funzione di revisione interna (internal
audit) (2) ;
h) «funzioni di controllo»: l'insieme delle funzioni che per
disposizione legislativa, regolamentare, statutaria o di
autoregolamentazione hanno compiti di controllo;
i) «funzione operativa importante»: una funzione operativa per la
quale risulta verificata almeno una delle seguenti condizioni:
• un'anomalia nella sua esecuzione o la sua mancata esecuzione
possono compromettere gravemente:
a) i risultati finanziari, la solidita' o la continuita'
dell'attivita' della banca; ovvero
b) la capacita' della banca di conformarsi alle condizioni e agli
obblighi derivanti dalla sua autorizzazione o agli obblighi previsti
dalla disciplina di vigilanza;
• riguarda attivita' sottoposte a riserva di legge;
• riguarda processi operativi delle funzioni aziendali di
controllo o ha un impatto significativo sulla gestione dei rischi
aziendali;
j) «processo di gestione dei rischi»: l'insieme delle regole,
delle procedure, delle risorse (umane, tecnologiche e organizzative)
e delle attivita' di controllo volte a identificare, misurare o
valutare, monitorare, prevenire o attenuare nonche' comunicare ai
livelli gerarchici appropriati tutti i rischi assunti o assumibili
(3) nei diversi segmenti, a livello di portafoglio di impresa e di
gruppo, cogliendone, in una logica integrata, anche le interrelazioni
reciproche e con l'evoluzione del contesto esterno;
k) «risk appetite framerwork» - «RAF» (sistema degli obiettivi di
rischio): il quadro di riferimento che definisce - in coerenza con il
massimo rischio assumibile, il business model e il piano strategico -
la propensione al rischio, le soglie di tolleranza, i limiti di
rischio, le politiche di governo dei rischi, i processi di
riferimento necessari per definirli e attuarli (cfr. Allegato C). Si
forniscono, di seguito, le definizioni dei concetti rilevanti ai fini
del RAF:
• risk capacity (massimo rischio assumibile): il livello massimo
di rischio che una banca e' tecnicamente in grado di assumere senza
violare i requisiti regolamentari o gli altri vincoli imposti dagli
azionisti o dall'autorita' di vigilanza;
• risk appetite (obiettivo di rischio o propensione al rischio):
il livello di rischio (complessivo e per tipologia) che la banca
intende assumere per il perseguimento dei suoi obiettivi strategici;
• risk tolerance (soglia di tollerenza): la devianza massima dal
risk appetite consentita; la soglia di tolleranza e' fissata in modo
da assicurare in ogni caso alla banca margini sufficienti per
operare, anche in condizioni di stress, entro il massimo rischio
assumibile. Nel caso in cui sia consentita l'assunzione di rischio
oltre l'obiettivo di rischio fissato, fermo restando il rispetto
della soglia di tolleranza, sono individuate le azioni gestionali
necessarie per ricondurre il rischio assunto entro l'obiettivo
prestabilito;
• risk profile (rischio effettivo): il rischio effettivamente
assunto, misurato in un determinato istante temporale;
• risk limits (limiti di rischio): l'articolazione degli
obiettivi di rischio in limiti operativi, definiti, in linea con il
principio di proporzionalita', per tipologie di rischio, unita' e o
linee di business, linee di prodotto, tipologie di clienti;
l) «esternalizzazione»: l'accordo in qualsiasi forma tra una
banca e un fornitore di servizi in base al quale il fornitore
realizza un processo, un servizio o un'attivita' della stessa banca.
4. Destinatari della disciplina.
Le presenti disposizioni si applicano, secondo quanto stabilito
nel Titolo I, Capitolo 1, Parte Seconda:
- alle banche autorizzate in Italia, ad eccezione delle
succursali di banche extracomunitarie aventi sede nei paesi del
Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato dalla
Banca d'Italia (4) ;
- alle capogruppo di gruppi bancari;
- alle imprese di riferimento, secondo quanto previsto dalla
Sezione VI;
- alle succursali di banche comunitarie e alle succursali di
banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o
in quelli inclusi in un elenco pubblicato dalla Banca d'Italia,
secondo quanto previsto dalla Sezione VII.
5. Unita' organizzative responsabili dei procedimenti amministrativi.
Si indicano di seguito le unita' organizzative responsabili dei
procedimenti amministrativi di cui al presente Capitolo, ai sensi
dell'art. 9 del Regolamento della Banca d'Italia del 25 giugno 2008:
- divieto dell'esternalizzazione di funzioni operative importanti
o di controllo: Servizio Supervisione gruppi bancari, Servizio
Supervisione intermediari specializzati, Filiale competente per
territorio;
- divieto dell'esternalizzazione di funzioni operative importanti
o di controllo nell'ambito del gruppo di appartenenza: Servizio
Supervisione gruppi bancari, Servizio Supervisione intermediari
specializzati, Filiale competente per territorio.
6. Principi generali.
Il sistema dei controlli interni e' costituito dall'insieme delle
regole, delle funzioni, delle strutture, delle risorse, dei processi
e delle procedure che mirano ad assicurare, nel rispetto della sana e
prudente gestione, il conseguimento delle seguenti finalita':
- verifica dell'attuazione delle strategie e delle politiche
aziendali;
- contenimento del rischio entro i limiti indicati nel quadro di
riferimento per la determinazione della propensione al rischio della
banca (Risk Appetite Framework - «RAF») (cfr. Allegato C);
- salvaguardia del valore delle attivita' e protezione dalle
perdite;
- efficacia ed efficienza dei processi aziendali;
- affidabilita' e sicurezza delle informazioni aziendali e delle
procedure informatiche (5) ;
- prevenzione del rischio che la banca sia coinvolta, anche
involontariamente, in attivita' illecite (con particolare riferimento
a quelle connesse con il riciclaggio, l'usura ed il finanziamento al
terrorismo);
- conformita' delle operazioni con la legge e la normativa di
vigilanza, nonche' con le politiche, i regolamenti e le procedure
interne.
Il sistema dei controlli interni riveste un ruolo centrale
nell'organizzazione aziendale: rappresenta un elemento fondamentale
di conoscenza per gli organi aziendali in modo da garantire piena
consapevolezza della situazione ed efficace presidio dei rischi
aziendali e delle loro interrelazioni; orienta i mutamenti delle
linee strategiche e delle politiche aziendali e consente di adattare
in modo coerente il contesto organizzativo; presidia la funzionalita'
dei sistemi gestionali e il rispetto degli istituti di vigilanza
prudenziale; favorisce la diffusione di una corretta cultura dei
rischi, della legalita' e dei valori aziendali.
Per queste caratteristiche, il sistema dei controlli interni ha
rilievo strategico; la cultura del controllo deve avere una posizione
di rilievo nella scala dei valori aziendali: non riguarda solo le
funzioni aziendali di controllo, ma coinvolge tutta l'organizzazione
aziendale (organi aziendali, strutture, livelli gerarchici,
personale), nello sviluppo e nell'applicazione di metodi, logici e
sistematici, per identificare, misurare, comunicare, gestire i
rischi.
Per poter realizzare questo obiettivo, il sistema dei controlli
interni deve in generale:
- assicurare la completezza, l'adeguatezza, la funzionalita' (in
termini di efficienza ed efficacia), l'affidabilita' del processo di
gestione dei rischi e la sua coerenza con il RAF;
- prevedere attivita' di controllo diffuse a ogni segmento
operativo e livello gerarchico (6) ;
- garantire che le anomalie riscontrate siano tempestivamente
portate a conoscenza di livelli appropriati dell'impresa (agli organi
aziendali, se significative) in grado di attivare tempestivamente gli
opportuni interventi correttivi;
- incorporare specifiche procedure per far fronte all'eventuale
violazione di limiti operativi.
A prescindere dalle strutture dove sono collocate, si possono
individuare le seguenti tipologie di controllo:
- controlli di linea (c.d. «controlli di primo livello»), diretti
ad assicurare il corretto svolgimento delle operazioni. Essi sono
effettuati dalle stesse strutture operative (ad es., controlli di
tipo gerarchico, sistematici e a campione), anche attraverso unita'
dedicate esclusivamente a compiti di controllo che riportano ai
responsabili delle strutture operative, ovvero eseguiti nell'ambito
del back office; per quanto possibile, essi sono incorporati nelle
procedure informatiche. Le strutture operative sono le prime
responsabili del processo di gestione dei rischi: nel corso
dell'operativita' giornaliera tali strutture devono identificare,
misurare o valutare, monitorare, attenuare e riportare i rischi
derivanti dall'ordinaria attivita' aziendale in conformita' con il
processo di gestione dei rischi; esse devono rispettare i limiti
operativi loro assegnati coerentemente con gli obiettivi di rischio e
con le procedure in cui si articola il processo di gestione dei
rischi;
- controlli sui rischi e sulla conformita' (c.d. «controlli di
secondo livello»), che hanno l'obiettivo di assicurare, tra l'altro:
a) la corretta attuazione del processo di gestione dei rischi;
b) il rispetto dei limiti operativi assegnati alle varie
funzioni;
c) la conformita' dell'operativita' aziendale alle norme, incluse
quelle di autoregolamentazione.
Le funzioni preposte a tali controlli sono distinte da quelle
produttive; esse concorrono alla definizione delle politiche di
governo dei rischi e del processo di gestione dei rischi;
- revisione interna (c.d. «controlli di terzo livello»), volta
a individuare violazioni delle procedure e della regolamentazione
nonche' a valutare periodicamente la completezza, l'adeguatezza, la
funzionalita' (in termini di efficienza ed efficacia) e
l'affidabilita' del sistema dei controlli interni e del sistema
informativo (ICT audit), con cadenza prefissata in relazione alla
natura e all'intensita' dei rischi.
Presupposto di un sistema dei controlli interni completo e
funzionale e' l'esistenza di una organizzazione aziendale adeguata
per assicurare la sana e prudente gestione delle banche e
l'osservanza delle disposizioni loro applicabili.
A tal fine, rileva, in primo luogo, il corretto funzionamento del
governo societario, le cui caratteristiche devono essere in linea con
quanto previsto nelle disposizioni di vigilanza in materia di
organizzazione e governo societario delle banche (7) .
Inoltre, le banche rispettano i seguenti principi generali di
organizzazione:
- i processi decisionali e l'affidamento di funzioni al personale
sono formalizzati e consentono l'univoca individuazione di compiti e
responsabilita' e sono idonei a prevenire i conflitti di interessi.
In tale ambito, deve essere assicurata la necessaria separatezza tra
le funzioni operative e quelle di controllo;
- le politiche e le procedure di gestione delle risorse umane
assicurano che il personale sia provvisto delle competenze e della
professionalita' necessarie per l'esercizio delle responsabilita' a
esso attribuite;
- il processo di gestione dei rischi e' efficacemente integrato.
Sono considerati parametri di integrazione, riportati a titolo
esemplificativo e non esaustivo: la diffusione di un linguaggio
comune nella gestione dei rischi a tutti i livelli della banca;
l'adozione di metodi e strumenti di rilevazione e valutazione tra di
loro coerenti (ad es., un'unica tassonomia dei processi e un'unica
mappa dei rischi); la definizione di modelli di reportistica dei
rischi, al fine di favorirne la comprensione e la corretta
valutazione, anche in una logica integrata; l'individuazione di
momenti formalizzati di coordinamento ai fini della pianificazione
delle rispettive attivita'; la previsione di flussi informativi su
base continuativa tra le diverse funzioni in relazione ai risultati
delle attivita' di controllo di propria pertinenza; la condivisione
nella individuazione delle azioni di rimedio;
- i processi e le metodologie di valutazione, anche a fini
contabili, delle attivita' aziendali sono affidabili e integrati con
il processo di gestione del rischio. A tal fine: la definizione e la
convalida delle metodologie di valutazione sono affidate a unita'
differenti; le metodologie di valutazione sono robuste, testate sotto
scenari di stress e non fanno affidamento eccessivo su un'unica fonte
informativa; la valutazione di uno strumento finanziario e' affidata
a un'unita' indipendente rispetto a quella che negozia detto
strumento;
- le procedure operative e di controllo devono: minimizzare i
rischi legati a frodi o infedelta' dei dipendenti; prevenire o,
laddove non sia possibile, attenuare i potenziali conflitti
d'interesse; prevenire il coinvolgimento, anche inconsapevole, in
fatti di riciclaggio, usura o di finanziamento al terrorismo;
- il sistema informativo rispetta la disciplina del Capitolo 8
(Il sistema informativo);
- i livelli di continuita' operativa garantiti sono adeguati e
conformi a quanto stabilito dal Capitolo 9 (La continuita'
operativa).
Le banche verificano regolarmente, con frequenza almeno annuale,
il grado di aderenza ai requisiti del sistema dei controlli interni e
dell'organizzazione e adottano le misure adeguate per rimediare a
eventuali carenze.
Sezione II
IL RUOLO DEGLI ORGANI AZIENDALI
1. Premessa.
Le banche assicurano la completezza, l'adeguatezza, la
funzionalita' e l'affidabilita' del sistema dei controlli interni. In
tale ambito, formalizzano il quadro di riferimento per la
determinazione della propensione al rischio (Risk Appetite Framework
- «RAF»), le politiche di governo dei rischi, il processo di gestione
dei rischi, ne assicurano l'applicazione e procedono al loro riesame
periodico per garantirne l'efficacia nel tempo. La responsabilita'
primaria e' rimessa agli organi aziendali, ciascuno secondo le
rispettive competenze.
Nei successivi paragrafi si forniscono indicazioni minime circa
il ruolo di ciascun organo aziendale nell'ambito del sistema dei
controlli interni, anche al fine di chiarire i relativi compiti e
responsabilita'.
Tali indicazioni non esauriscono, pertanto, le cautele che
possono essere adottate dai competenti organi aziendali nell'ambito
della loro autonomia gestionale.
2. Organo con funzione di supervisione strategica.
L'organo con funzione di supervisione strategica:
- definisce e approva:
a) il modello di business avendo consapevolezza dei rischi cui
tale modello espone la banca e comprensione delle modalita'
attraverso le quali i rischi sono rilevati e valutati;
b) gli indirizzi strategici e provvede al loro riesame periodico,
in relazione all'evoluzione dell'attivita' aziendale e del contesto
esterno, al fine di assicurarne l'efficacia nel tempo;
c) gli obiettivi di rischio, la soglia di tolleranza (ove
identificata) e le politiche di governo dei rischi;
d) le linee di indirizzo del sistema dei controlli interni,
verificando che esso sia coerente con gli indirizzi strategici e la
propensione al rischio stabiliti nonche' sia in grado di cogliere
l'evoluzione dei rischi aziendali e l'interazione tra gli stessi;
e) i criteri per individuare le operazioni di maggiore rilievo da
sottoporre al vaglio preventivo della funzione di controllo dei
rischi (cfr. Sezione III, par. 3.3.);
- approva:
a) la costituzione delle funzioni aziendali di controllo, i
relativi compiti e responsabilita', le modalita' di coordinamento e
collaborazione, i flussi informativi tra tali funzioni e tra queste e
gli organi aziendali (cfr. anche par. 5);
b) il processo di gestione del rischio e ne valuta la
compatibilita' con gli indirizzi strategici e le politiche di governo
dei rischi;
c) le politiche e i processi di valutazione delle attivita'
aziendali, e, in particolare, degli strumenti finanziari,
verificandone la costante adeguatezza; stabilisce altresi' i limiti
massimi all'esposizione della banca verso strumenti o prodotti
finanziari di incerta o difficile valutazione;
d) il processo per lo sviluppo e la convalida dei sistemi interni
di misurazione dei rischi non utilizzati a fini regolamentari (8) (9)
e ne valuta periodicamente il corretto funzionamento;
e) il processo per l'approvazione di nuovi prodotti e servizi,
l'avvio di nuove attivita', l'inserimento in nuovi mercati;
f) la politica aziendale in materia di esternalizzazione di
funzioni aziendali (cfr. Sezioni IV e V);
g) al fine di attenuare i rischi operativi e di reputazione della
banca e favorire la diffusione di una cultura dei controlli interni,
un codice etico cui sono tenuti a uniformarsi i componenti degli
organi aziendali e i dipendenti. Il codice definisce i principi di
condotta (ad es., regole deontologiche e regole da osservare nei
rapporti con i clienti) a cui deve essere improntata l'attivita'
aziendale;
- assicura che:
a) la struttura della banca sia coerente con l'attivita' svolta e
con il modello di business adottato, evitando la creazione di
strutture complesse non giustificate da finalita' operative;
b) il sistema dei controlli interni e l'organizzazione aziendale
siano costantemente uniformati ai principi indicati nella Sezione I e
che le funzioni aziendali di controllo possiedano i requisiti e
rispettino le previsioni della Sezione III. Nel caso emergano carenze
o anomalie, promuove con tempestivita' l'adozione di idonee misure
correttive e ne valuta l'efficacia;
c) l'attuazione del RAF sia coerente con gli obiettivi di rischio
e la soglia di tolleranza (ove identificata) approvati; valuta
periodicamente l'adeguatezza e l'efficacia del RAF e la
compatibilita' tra il rischio effettivo e gli obiettivi di rischio;
d) il piano strategico, il RAF, l'ICAAP, i budget e il sistema
dei controlli interni siano coerenti, avuta anche presente
l'evoluzione delle condizioni interne ed esterne in cui opera la
banca;
e) la quantita' e l'allocazione del capitale e della liquidita'
detenuti siano coerenti con la propensione al rischio, le politiche
di governo dei rischi e il processo di gestione dei rischi;
- nel caso in cui la banca operi in giurisdizioni poco
trasparenti o attraverso strutture particolarmente complesse, valuta
i relativi rischi operativi, in particolare di natura legale,
reputazionali e finanziari, individua i presidi per attenuarli e ne
assicura il controllo effettivo;
- con cadenza almeno annuale, approva il programma di attivita',
compreso il piano di audit predisposto dalla funzione di revisione
interna (cfr. Sezione III, par. 2), ed esamina le relazioni annuali
predisposte dalle funzioni aziendali di controllo. Approva altresi'
il piano di audit pluriennale.
Si indicano, infine, i compiti dell'organo con funzione di
supervisione strategica con riguardo a taluni profili specifici:
- con riferimento al processo ICAAP, definisce e approva le linee
generali del processo, ne assicura la coerenza con il RAF e
l'adeguamento tempestivo in relazione a modifiche significative delle
linee strategiche, dell'assetto organizzativo, del contesto operativo
di riferimento; promuove il pieno utilizzo delle risultanze
dell'ICAAP a fini strategici e nelle decisioni d'impresa;
- riguardo ai rischi di credito e di controparte, approva le
linee generali del sistema di gestione delle tecniche di attenuazione
del rischio che presiede all'intero processo di acquisizione,
valutazione, controllo e realizzo degli strumenti di attenuazione del
rischio utilizzati.
Nel caso di banche che adottano sistemi interni di misurazione
dei rischi per la determinazione dei requisiti patrimoniali, l'organo
con funzione di supervisione strategica svolge anche i seguenti
compiti:
- approva l'adozione dei suddetti sistemi. In particolare,
approva la scelta del sistema ritenuto idoneo e il relativo progetto
in cui sono pianificate le attivita' connesse con la sua
predisposizione e messa in opera, individuate le responsabilita',
definiti i tempi di realizzazione, determinati gli investimenti
previsti in termini di risorse umane, finanziarie e tecnologiche;
- verifica periodicamente che le scelte effettuate mantengano nel
tempo la loro validita', approvando i cambiamenti sostanziali al
sistema e provvedendo alla complessiva supervisione sul corretto
funzionamento dello stesso;
- vigila, con il supporto delle competenti funzioni,
sull'effettivo utilizzo dei sistemi interni a fini gestionali (use
test) e sulla loro rispondenza agli altri requisiti previsti dalla
normativa;
- con cadenza almeno annuale, esamina i riferimenti forniti dalla
funzione di convalida e assume, col parere dell'organo con funzione
di controllo, formale delibera con la quale attesta il rispetto dei
requisiti previsti per l'utilizzo dei sistemi.
3. Organo con funzione di gestione.
L'organo con funzione di gestione ha la comprensione di tutti i
rischi aziendali, inclusi i possibili rischi di malfunzionamento dei
sistemi interni di misurazione (c.d. «rischio di modello»), e,
nell'ambito di una gestione integrata, delle loro interrelazioni
reciproche e con l'evoluzione del contesto esterno. In tale ambito,
e' in grado di individuare e valutare i fattori, inclusa la
complessita' della struttura organizzativa, da cui possono scaturire
rischi per la banca.
Tale organo cura l'attuazione degli indirizzi strategici, del RAF
e delle politiche di governo dei rischi definiti dall'organo con
funzione di supervisione strategica ed e' responsabile per l'adozione
di tutti gli interventi necessari ad assicurare l'aderenza
dell'organizzazione e del sistema dei controlli interni ai principi e
requisiti di cui alle Sezioni I e III, monitorandone nel continuo il
rispetto.
In particolare, l'organo con funzione di gestione:
- definisce e cura l'attuazione del processo di gestione dei
rischi. In tale ambito:
a) stabilisce limiti operativi all'assunzione delle varie
tipologie di rischio, coerenti con la propensione al rischio, tenendo
esplicitamente conto dei risultati delle prove di stress e
dell'evoluzione del quadro economico. Inoltre, nell'ambito della
gestione dei rischi, limita l'affidamento sui rating esterni,
assicurando che, per ciascuna tipologia di rischio, siano condotte
adeguate e autonome analisi interne;
b) agevola lo sviluppo e la diffusione a tutti i livelli di una
cultura del rischio integrata in relazione alle diverse tipologie di
rischi ed estesa a tutta la banca. In particolare, sono sviluppati e
attuati programmi di formazione per sensibilizzare i dipendenti in
merito alle responsabilita' in materia di rischi in modo da non
confinare il processo di gestione del rischio agli specialisti o alle
funzioni di controllo;
c) stabilisce le responsabilita' delle strutture e delle funzioni
aziendali coinvolte nel processo di gestione dei rischi, in modo che
siano chiaramente attribuiti i relativi compiti e siano prevenuti
potenziali conflitti d'interessi; assicura, altresi', che le
attivita' rilevanti siano dirette da personale qualificato, con
adeguato grado di autonomia di giudizio e in possesso di esperienze e
conoscenze adeguate ai compiti da svolgere;
d) esamina le operazioni di maggior rilievo oggetto di parere
negativo da parte della funzione di controllo dei rischi e, se del
caso, le autorizza (cfr. Sezione III, par. 3.3.); di tali operazioni
informa l'organo con funzione di supervisione strategica e l'organo
con funzione di controllo;
- definisce e cura l'attuazione del processo (responsabili,
procedure, condizioni) per approvare gli investimenti in nuovi
prodotti, la distribuzione di nuovi prodotti o servizi ovvero l'avvio
di nuove attivita' o l'ingresso in nuovi mercati. Il processo:
a) assicura che vengano pienamente valutati i rischi derivanti
dalla nuova operativita', che detti rischi siano coerenti con la
propensione al rischio e che la banca sia in grado di gestirli;
b) definisce le fasce di clientela a cui si intendono distribuire
nuovi prodotti o servizi in relazione alla complessita' degli stessi
e a eventuali vincoli normativi esistenti;
c) consente di stimare gli impatti della nuova operativita' in
termini di costi, ricavi, risorse (umane, organizzative e
tecnologiche) nonche' di valutare gli impatti sulle procedure
amministrative e contabili della banca;
d) individua le eventuali modifiche da apportare al sistema dei
controlli interni;
- definisce e cura l'attuazione della politica aziendale in
materia di esternalizzazione di funzioni aziendali (cfr. Sezioni IV e
V);
- definisce e cura l'attuazione dei processi e delle metodologie
di valutazione delle attivita' aziendali, e, in particolare, degli
strumenti finanziari; ne cura il loro costante aggiornamento;
- definisce i flussi informativi interni volti ad assicurare agli
organi aziendali e alle funzioni aziendali di controllo la piena
conoscenza e governabilita' dei fattori di rischio e la verifica del
rispetto del RAF;
- nell'ambito del RAF, se e' stata definita la soglia di
tolleranza, autorizza il superamento della propensione al rischio
entro il limite rappresentato dalla soglia di tolleranza e provvede a
darne pronta informativa all'organo con funzione di supervisione
strategica, individuando le azioni gestionali necessarie per
ricondurre il rischio assunto entro l'obiettivo prestabilito;
- pone in essere le iniziative e gli interventi necessari per
garantire nel continuo la completezza, l'adeguatezza, la
funzionalita' e l'affidabilita' del sistema dei controlli interni e
porta i risultati delle verifiche effettuate a conoscenza dell'organo
con funzione di supervisione strategica;
- predispone e attua i necessari interventi correttivi o di
adeguamento nel caso emergano carenze o anomalie, o a seguito
dell'introduzione di nuovi prodotti, attivita', servizi o processi
rilevanti;
- assicura:
a) la coerenza del processo di gestione dei rischi con la
propensione al rischio e le politiche di governo dei rischi, avuta
anche presente l'evoluzione delle condizioni interne ed esterne in
cui opera la banca;
b) una corretta, tempestiva e sicura gestione delle informazioni
a fini contabili, gestionali e di reporting.
Si indicano, infine, i compiti dell'organo con funzione di
gestione con riguardo a taluni profili specifici:
- con riferimento al processo ICAAP, da' attuazione a tale
processo curando che lo stesso sia rispondente agli indirizzi
strategici e la RAF e che soddisfi i seguenti requisiti: consideri
tutti i rischi rilevanti; incorpori valutazioni prospettiche;
utilizzi appropriate metodologie; sia conosciuto e condiviso dalle
strutture interne; sia adeguatamente formalizzato e documentato;
individui i ruoli e le responsabilita' assegnate alle funzioni e alle
strutture aziendali; sia affidato a risorse competenti, sufficienti
sotto il profilo quantitativo, collocate in posizione gerarchica
adeguata a far rispettare la pianificazione; sia parte integrante
dell'attivita' gestionale;
- con specifico riferimento ai rischi di credito e di
controparte, in linea con gli indirizzi strategici, approva
specifiche linee guida volte ad assicurare l'efficacia del sistema di
gestione delle tecniche di attenuazione del rischio e a garantire il
rispetto dei requisiti generali e specifici di tali tecniche.
Nel caso di banche che adottano sistemi interni di misurazione
dei rischi per la determinazione dei requisiti patrimoniali, l'organo
con funzione di gestione svolge anche i seguenti compiti:
- e' responsabile dell'impianto e del funzionamento del sistema
prescelto; per svolgere tale compito i componenti dell'organo
possiedono un'adeguata conoscenza degli aspetti rilevanti;
- impartisce le disposizioni necessarie affinche' il sistema
prescelto sia realizzato secondo le linee strategiche individuate,
assegnando compiti e responsabilita' alle diverse funzioni aziendali
e assicurando la formalizzazione e la documentazione delle fasi del
processo di gestione del rischio;
- cura che i sistemi di misurazione dei rischi siano integrati
nei processi decisionali e nella gestione dell'operativita' aziendale
(use test);
- tiene conto, nello svolgimento dei compiti assegnati, delle
osservazioni emerse a seguito del processo di convalida e delle
verifiche condotte dalla revisione interna.
4. Organo con funzione di controllo.
L'organo con funzione di controllo ha la responsabilita' di
vigilare sulla completezza, adeguatezza, funzionalita' e
affidabilita' del sistema dei controlli interni e del RAF.
Nell'espletamento di tale compito, l'organo con funzione di
controllo vigila sul rispetto delle previsioni di cui i) alla
presente Sezione, ii) alle Sezioni I e III e iii) al processo ICAAP.
Per lo svolgimento delle proprie attribuzioni, tale organo dispone di
adeguati flussi informativi da parte degli altri organi aziendali e
delle funzioni di controllo.
L'organo con funzione di controllo svolge, di norma, le funzioni
dell'organismo di vigilanza - eventualmente istituito ai sensi del
d.lgs. n. 231/2001, in materia di responsabilita' amministrativa
degli enti - che vigila sul funzionamento e l'osservanza dei modelli
di organizzazione e di gestione di cui si dota la banca per prevenire
i reati rilevanti ai fini del medesimo decreto legislativo (10) . Le
banche possono affidare tali funzioni a un organismo appositamente
istituito dandone adeguata motivazione.
Considerata la pluralita' di funzioni aventi, all'interno
dell'azienda, compiti e responsabilita' di controllo, l'organo con
funzione di controllo e' tenuto ad accertare l'adeguatezza di tutte
le funzioni coinvolte nel sistema dei controlli, il corretto
assolvimento dei compiti e l'adeguato coordinamento delle medesime,
promuovendo gli interventi correttivi delle carenze e delle
irregolarita' rilevate (11) .
Nelle banche che adottano sistemi interni di misurazione dei
rischi per la determinazione dei requisiti patrimoniali, l'organo con
funzione di controllo, avvalendosi dell'apporto delle funzioni
aziendali di controllo, vigila - nell'ambito della piu' generale
attivita' di verifica del processo di gestione dei rischi - sulla
completezza, adeguatezza, funzionalita', affidabilita', dei sistemi
stessi e sulla loro rispondenza ai requisiti previsti dalla
normativa.
5. Il coordinamento delle funzioni di controllo.
Il corretto funzionamento del sistema dei controlli interni si
basa sulla proficua interazione nell'esercizio dei compiti
(d'indirizzo, di attuazione, di verifica, di valutazione) fra gli
organi aziendali, gli eventuali comitati costituiti all'interno di
questi ultimi (12) , i soggetti incaricati della revisione legale dei
conti, le funzioni di controllo.
L'ordinamento e le fonti di autoregolamentazione attribuiscono,
poi, compiti di controllo a specifiche funzioni - diverse dalle
funzioni aziendali di controllo - o a comitati interni all'organo
amministrativo, la cui attivita' va inquadrata in modo coerente nel
sistema dei controlli interni.
In particolare, rilevano:
- l'organismo di vigilanza eventualmente istituito ai sensi del
d.lgs. n. 231/2001;
- per le banche con azioni quotate, il dirigente preposto alla
redazione dei documenti contabili societari (art. 154-bis del TUF),
il quale, tra l'altro, ha il compito di stabilire adeguate procedure
amministrative e contabili per la predisposizione del bilancio e di
ogni altra comunicazione di carattere finanziario.
Inoltre, il Codice di autodisciplina della Borsa Italiana, a cui
le banche quotate possono aderire su base volontaria, introduce
principi e criteri applicativi riguardo al sistema di controllo
interno e di gestione dei rischi, che prevedono, tra l'altro, la
designazione di uno o piu' amministratori incaricati del sistema di
controllo interno e di gestione dei rischi e l'istituzione, in seno
all'organo amministrativo, di un comitato controllo e rischi.
Per assicurare una corretta interazione tra tutte le funzioni e
organi con compiti di controllo, evitando sovrapposizioni o lacune,
l'organo con funzione di supervisione strategica approva un
documento, diffuso a tutte le strutture interessate, nel quale sono
definiti i compiti e le responsabilita' dei vari organi e funzioni di
controllo, i flussi informativi tra le diverse funzioni/organi e tra
queste/i e gli organi aziendali e, nel caso in cui gli ambiti di
controllo presentino aree di potenziale sovrapposizione o permettano
di sviluppare sinergie, le modalita' di coordinamento e di
collaborazione. A titolo esemplificativo, nell'attivita'
dell'organismo di vigilanza, che attiene in generale all'adempimento
di leggi e regolamenti, puo' essere proficuo uno stretto raccordo, in
termini sia di suddivisione di attivita' che di condivisione di
informazioni, con le funzioni di conformita' alle norme e di
revisione interna.
Nel definire le modalita' di raccordo, ferme restando le
attribuzioni previste dalla legge per le funzioni di controllo, le
banche prestano attenzione a non alterare, anche nella sostanza, le
responsabilita' primarie degli organi aziendali sul sistema dei
controlli interni.
Sezione III
FUNZIONI AZIENDALI DI CONTROLLO
1. Istituzione delle funzioni aziendali di controllo.
Ferma restando l'autonoma responsabilita' aziendale per le scelte
effettuate in materia di assetto dei controlli interni, le banche
istituiscono, secondo quanto di seguito indicato, funzioni aziendali
di controllo permanenti e indipendenti: i) di conformita' alle norme
(compliance); ii) di controllo dei rischi (risk management); iii) di
revisione interna (internal audit).
Le prime due funzioni attengono ai controlli di secondo livello,
la revisione interna ai controlli di terzo livello.
Per assicurare l'indipendenza delle funzioni aziendali di
controllo:
a) tali funzioni dispongono dell'autorita', delle risorse e delle
competenze necessarie per lo svolgimento dei loro compiti. Alle
funzioni e' consentito di avere accesso ai dati aziendali e a quelli
esterni necessari per svolgere in modo appropriato i propri compiti.
Le risorse economiche, eventualmente attivabili in autonomia,
permettono, tra l'altro, alle funzioni aziendali di controllo di
ricorrere a consulenze esterne. Il personale e' adeguato per numero,
competenze tecnico-professionali, aggiornamento, anche attraverso
l'inserimento di programmi di formazione nel continuo. Al fine di
garantire la formazione di competenze trasversali e di acquisire una
visione complessiva e integrata dell'attivita' di controllo svolta
dalla funzione, la banca formalizza e incentiva programmi di
rotazione delle risorse, tra le funzioni aziendali di controllo;
b) i responsabili:
• possiedono requisiti di professionalita' adeguati;
• sono collocati in posizione gerarchico-funzionale adeguata. In
particolare, i responsabili delle funzioni di controllo dei rischi e
di conformita' alle norme sono collocati alle dirette dipendenze
dell'organo con funzione di gestione o dell'organo con funzione di
supervisione strategica; il responsabile della funzione di revisione
interna e' collocato sempre alle dirette dipendenze dell'organo con
funzione di supervisione strategica;
• non hanno responsabilita' diretta di aree operative sottoposte
a controllo ne' sono gerarchicamente subordinati ai responsabili di
tali aree;
• sono nominati e revocati (motivandone le ragioni) dall'organo
con funzione di supervisione strategica, sentito l'organo con
funzione di controllo (13) . Il responsabile di funzioni aziendali di
controllo puo' essere un componente dell'organo amministrativo,
purche' sia destinatario di specifiche deleghe in materia di
controlli e non sia destinatario di altre deleghe che ne
pregiudichino l'autonomia;
• riferiscono direttamente agli organi aziendali. In particolare,
i responsabili della funzione di controllo dei rischi e della
funzione di conformita' alle norme hanno, in ogni caso, accesso
diretto all'organo con funzione di supervisione strategica e
all'organo con funzione di controllo e comunicano con essi senza
restrizioni o intermediazioni; il responsabile della funzione di
revisione interna ha accesso diretto all'organo con funzione di
controllo e comunica con esso senza restrizioni o intermediazioni;
c) il personale che partecipa alle funzioni aziendali di
controllo non e' coinvolto in attivita' che tali funzioni sono
chiamate a controllare. Nel rispetto di tale principio, nelle banche
di dimensioni contenute o caratterizzate da una limitata complessita'
operativa, il personale incaricato di compiti attinenti al controllo
di conformita' alle norme o al controllo dei rischi, qualora non sia
inserito nelle relative funzioni aziendali di controllo, puo' essere
integrato in aree operative diverse; in questi casi, tale personale
riferisce direttamente ai responsabili delle funzioni aziendali di
controllo per le questioni attinenti ai compiti di tali funzioni;
d) le funzioni aziendali di controllo sono tra loro separate,
sotto un profilo organizzativo. I rispettivi ruoli e responsabilita'
sono formalizzati;
e) i criteri di remunerazione del personale che partecipa alle
funzioni aziendali di controllo non ne compromettono l'obiettivita' e
concorrono a creare un sistema di incentivi coerente con le finalita'
della funzione svolta (14) .
Se coerente con il principio di proporzionalita', le banche
possono, a condizione che i controlli sulle diverse tipologie di
rischio continuino ad essere efficaci:
- affidare a un'unica struttura lo svolgimento della funzione di
conformita' alle norme e della funzione di controllo dei rischi;
- affidare lo svolgimento delle funzioni aziendali di controllo
all'esterno, secondo quanto previsto dalle disposizioni in materia di
esternalizzazione previste nella Sezione IV e, per quanto riguarda
l'esternalizzazione all'interno dei gruppi bancari, nella Sezione V.
Tenuto conto che le funzioni di conformita' alle norme e di
controllo dei rischi devono essere sottoposte a verifica periodica da
parte della funzione di revisione interna (controllo di terzo
livello), per assicurare l'imparzialita' delle verifiche, le funzioni
di conformita' alle norme e di gestione dei rischi non possono essere
affidate alla funzione di revisione interna.
2. Programmazione e rendicontazione dell'attivita' di controllo.
Per ciascuna funzione aziendale di controllo, la regolamentazione
interna indica responsabilita', compiti, modalita' operative, flussi
informativi, programmazione dell'attivita' di controllo.
In particolare:
- le funzioni di conformita' alle norme e di controllo dei rischi
presentano annualmente agli organi aziendali, ciascuna in base alle
rispettive competenze, un programma di attivita', in cui sono
identificati e valutati i principali rischi a cui la banca e' esposta
e sono programmati i relativi interventi di gestione. La
programmazione degli interventi tiene conto sia delle eventuali
carenze emerse nei controlli, sia di eventuali nuovi rischi
identificati;
- la funzione di revisione interna presenta annualmente agli
organi aziendali un piano di audit, che indica le attivita' di
controllo pianificate, tenuto conto dei rischi delle varie attivita'
e strutture aziendali; il piano contiene una specifica sezione
relativa all'attivita' di revisione del sistema informativo (ICT
auditing).
Al termine del ciclo gestionale, con cadenza quindi annuale, le
funzioni aziendali di controllo:
- presentano agli organi aziendali una relazione dell'attivita'
svolta, che illustra le verifiche effettuate, i risultati emersi, i
punti di debolezza rilevati e propongono gli interventi da adottare
per la loro rimozione;
- riferiscono, ciascuna per gli aspetti di rispettiva competenza,
in ordine alla completezza, adeguatezza, funzionalita' e
affidabilita' del sistema dei controlli interni.
In ogni caso, le funzioni aziendali di controllo informano
tempestivamente gli organi aziendali su ogni violazione o carenza
rilevante riscontrate (ad es., violazioni che possono comportare un
alto rischio di sanzioni regolamentari o legali, perdite finanziarie
di rilievo o significativi impatti sulla situazione finanziaria o
patrimoniale, danni di reputazione, malfunzionamenti di procedure
informatiche critiche).
3. Requisiti specifici delle funzioni aziendali di controllo.
3.1. Premessa.
Nei paragrafi seguenti si stabiliscono, in via generale, le
responsabilita' e i principali compiti di ciascuna delle funzioni
aziendali di controllo (15) .
Indicazioni piu' specifiche concernenti le responsabilita' e i
compiti di tali funzioni relativamente a ciascuna singola categoria
di rischio, ambiti operativi o attivita' particolari sono riportate
nelle relative discipline (cfr. Sezione I, par. 1).
3.2. Funzione di conformita' alle norme (compliance).
Il rischio di non conformita' alle norme e' il rischio di
incorrere in sanzioni giudiziarie o amministrative, perdite
finanziarie rilevanti o danni di reputazione in conseguenza di
violazioni di norme imperative (leggi, regolamenti) ovvero di
autoregolamentazione (ad es., statuti, codici di condotta, codici di
autodisciplina).
Poiche' il rischio di non conformita' alle norme e' diffuso a
tutti livelli dell'organizzazione aziendale, soprattutto nell'ambito
delle linee operative, l'attivita' di prevenzione deve svolgersi in
primo luogo dove il rischio viene generato: e' pertanto necessaria
un'adeguata responsabilizzazione di tutto il personale.
La funzione di conformita' alle norme presiede, secondo un
approccio risk based, alla gestione del rischio di non conformita'
con riguardo a tutta l'attivita' aziendale, verificando che le
procedure interne siano adeguate a prevenire tale rischio. A tal
fine, e' necessario che la funzione di conformita' alle norme abbia
accesso a tutte le attivita' della banca, centrali e periferiche, e a
qualsiasi informazione a tal fine rilevante, anche attraverso il
colloquio diretto con il personale.
I principali adempimenti che la funzione di conformita' alle
norme e' chiamata a svolgere sono:
- l'ausilio alle strutture aziendali per la definizione delle
metodologie di valutazione dei rischi di non conformita' alle norme;
- l'individuazione di idonee procedure per la prevenzione del
rischio rilevato, con possibilita' di richiederne l'adozione; la
verifica della loro adeguatezza e corretta applicazione;
- l'identificazione nel continuo delle norme applicabili alla
banca e la misurazione/valutazione del loro impatto su processi e
procedure aziendali;
- la proposta di modifiche organizzative e procedurali
finalizzate ad assicurare un adeguato presidio dei rischi di non
conformita' identificati;
- la predisposizione di flussi informativi diretti agli organi
aziendali e alle strutture coinvolte (ad es.: gestione del rischio
operativo e revisione interna);
- la verifica dell'efficacia degli adeguamenti organizzativi
(strutture, processi, procedure anche operative e commerciali)
suggeriti per la prevenzione del rischio di non conformita' alle
norme.
Per le norme piu' rilevanti ai fini del rischio di non
conformita', quali quelle che riguardano l'esercizio dell'attivita'
bancaria e di intermediazione, la gestione dei conflitti di
interesse, la trasparenza nei confronti della clientela e, piu' in
generale, la disciplina posta a tutela del consumatore, e per quelle
norme per le quali non siano gia' previste forme di presidio
specializzato all'interno della banca, la funzione e' direttamente
responsabile della gestione del rischio di non conformita'.
Con riferimento ad altre normative per le quali siano gia'
previste forme specifiche di presidio specializzato (ad es.:
normativa sulla sicurezza sul lavoro, in materia di trattamento dei
dati personali), la banca, in base a una valutazione dell'adeguatezza
dei controlli specialistici a gestire i profili di rischio di non
conformita', puo' graduare i compiti della compliance, che comunque
e' responsabile, in collaborazione con le funzioni specialistiche
incaricate, almeno della definizione delle metodologie di valutazione
del rischio di non conformita' e della individuazione delle relative
procedure, e procede alla verifica dell'adeguatezza delle procedure
medesime a prevenire il rischio di non conformita'.
La banca puo' adottare tale approccio anche con riferimento al
presidio del rischio di non conformita' alle normative di natura
fiscale (16) , che richiede almeno: (i) la definizione di procedure
(17) volte a prevenire violazioni o elusioni di tale normativa e ad
attenuare i rischi connessi a situazioni che potrebbero integrare
fattispecie di abuso del diritto, in modo da minimizzare le
conseguenze sia sanzionatorie, sia reputazionali derivanti dalla non
corretta applicazione della normativa fiscale; (ii) la verifica
dell'adeguatezza di tali procedure e della loro idoneita' a
realizzare effettivamente l'obiettivo di prevenire il rischio di non
conformita'.
Ferme restando le responsabilita' della funzione di compliance
per l'espletamento dei compiti previsti da normative specifiche
(quali, ad es., le discipline in materia di politiche e prassi di
remunerazione e incentivazione, di trasparenza delle operazioni e
correttezza delle relazioni tra intermediari e clienti e di attivita'
di rischio e conflitti di interesse nei confronti di soggetti
collegati), altre aree di intervento sono:
- il coinvolgimento nella valutazione ex ante della conformita'
alla regolamentazione applicabile di tutti i progetti innovativi
(inclusa l'operativita' in nuovi prodotti o servizi) che la banca
intenda intraprendere nonche' nella prevenzione e nella gestione dei
conflitti di interesse sia tra le diverse attivita' svolte dalla
banca, sia con riferimento ai dipendenti e agli esponenti aziendali;
- la consulenza e assistenza nei confronti degli organi aziendali
della banca in tutte le materie in cui assume rilievo il rischio di
non conformita' nonche' la collaborazione nell'attivita' di
formazione del personale sulle disposizioni applicabili alle
attivita' svolte, al fine di diffondere una cultura aziendale
improntata ai principi di onesta', correttezza e rispetto dello
spirito e della lettera delle norme.
Sotto il profilo organizzativo, tenuto conto dei molteplici
profili professionali richiesti per l'espletamento di tali
adempimenti, le varie fasi in cui si articola l'attivita' della
funzione di conformita' alle norme possono essere affidate a risorse
appartenenti ad altre strutture organizzative (ad es., legale,
organizzazione, gestione del rischio operativo), purche' il processo
di gestione del rischio e l'operativita' della funzione siano
ricondotti ad unita' mediante la nomina di un responsabile che
coordini e sovrintenda alle diverse attivita'.
3.3. Funzione di controllo dei rischi (risk management function).
La funzione di controllo dei rischi ha la finalita' di
collaborare alla definizione e all'attuazione del RAF e delle
relative politiche di governo dei rischi, attraverso un adeguato
processo di gestione dei rischi (18) .
La funzione di controllo dei rischi deve essere organizzata in
modo da perseguire in maniera efficiente ed efficace tale obiettivo.
Essa puo' essere variamente articolata, ad esempio in relazione ai
singoli profili di rischio (di credito, di mercato, operativo,
modello, ecc.), purche' la banca mantenga una visione d'insieme dei
diversi rischi e della loro reciproca interazione. Le banche che
adottano sistemi interni per la misurazione dei rischi, se coerente
con la natura, la dimensione e la complessita' dell'attivita' svolta,
individuano all'interno della funzione di controllo dei rischi unita'
preposte alla convalida di detti sistemi indipendenti dalle unita'
responsabili dello sviluppo degli stessi.
Specie nelle banche piu' complesse, puo' essere prevista la
costituzione di specifici comitati di gestione dei diversi profili di
rischio (ad es., comitati per i rischi di credito e operativi,
comitato di liquidita', comitato finanza, comitato per l'asset and
liability management), definendo in modo chiaro le diverse
responsabilita' e le modalita' di intervento e di partecipazione
della funzione, in modo da garantirne la completa indipendenza dal
processo di assunzione dei rischi; va inoltre evitato che
l'istituzione di tali comitati possa depotenziare le prerogative
della funzione di controllo dei rischi.
Al tempo stesso, vanno individuate soluzioni organizzative che
non determinino una eccessiva distanza dal contesto operativo. Per la
piena consapevolezza dei rischi e' necessario che vi sia una continua
interazione critica con le unita' di business.
La funzione di controllo dei rischi:
- e' coinvolta nella definizione del RAF, delle politiche di
governo dei rischi e delle varie fasi che costituiscono il processo
di gestione dei rischi nonche' nella fissazione dei limiti operativi
all'assunzione delle varie tipologie di rischio. In tale ambito, ha,
tra l'altro, il compito di proporre i parametri quantitativi e
qualitativi necessari per la definizione del RAF, che fanno
riferimento anche a scenari di stress e, in caso di modifiche del
contesto operativo interno ed esterno della banca, l'adeguamento di
tali parametri;
- verifica l'adeguatezza del RAF;
- verifica nel continuo l'adeguatezza del processo di gestione
dei rischi e dei limiti operativi;
- fermo restando quanto previsto nell'ambito della disciplina dei
sistemi interni per il calcolo dei requisiti patrimoniali, e'
responsabile dello sviluppo, della convalida e del mantenimento dei
sistemi di misurazione e controllo dei rischi assicurando che siano
sottoposti a backtesting periodici, che vengano analizzati un
appropriato numero di scenari e che siano utilizzate ipotesi
conservative sulle dipendenze e sulle correlazioni; nella misurazione
dei rischi tiene conto in generale del rischio di modello e
dell'eventuale incertezza nella valutazione di alcune tipologie di
strumenti finanziari e informa di queste incertezze l'organo con
funzione di gestione;
- definisce metriche comuni di valutazione dei rischi operativi
coerenti con il RAF, coordinandosi con la funzione di conformita'
alle norme, con la funzione ICT e con la funzione di continuita'
operativa;
- definisce modalita' di valutazione e controllo dei rischi
reputazionali, coordinandosi con la funzione di conformita' alle
norme e le funzioni aziendali maggiormente esposte;
- coadiuva gli organi aziendali nella valutazione del rischio
strategico monitorando le variabili significative;
- assicura la coerenza dei sistemi di misurazione e controllo dei
rischi con i processi e le metodologie di valutazione delle attivita'
aziendali, coordinandosi con le strutture aziendali interessate;
- sviluppa e applica indicatori in grado di evidenziare
situazioni di anomalia e di inefficienza dei sistemi di misurazione e
controllo dei rischi;
- analizza i rischi dei nuovi i prodotti e servizi e di quelli
derivanti dall'ingresso in nuovi segmenti operativi e di mercato;
- da' pareri preventivi sulla coerenza con il RAF delle
operazioni di maggiore rilievo eventualmente acquisendo, in funzione
della natura dell'operazione, il parere di altre funzioni coinvolte
nel processo di gestione dei rischi;
- monitora costantemente il rischio effettivo assunto dalla banca
e la sua coerenza con gli obiettivi di rischio nonche' il rispetto
dei limiti operativi assegnati alle strutture operative in relazione
all'assunzione delle varie tipologie di rischio;
- verifica il corretto svolgimento del monitoraggio andamentale
sulle singole esposizioni creditizie (cfr. Allegato A, par. 2);
- verifica l'adeguatezza e l'efficacia delle misure prese per
rimediare alle carenze riscontrate nel processo di gestione del
rischio.
3.4. Funzione di revisione interna (internal audit).
La funzione di revisione interna e' volta, da un lato, a
controllare, in un'ottica di controlli di terzo livello, anche con
verifiche in loco, il regolare andamento dell'operativita' e
l'evoluzione dei rischi, e, dall'altro, a valutare la completezza,
l'adeguatezza, la funzionalita' e l'affidabilita' della struttura
organizzativa e delle altre componenti del sistema dei controlli
interni, portando all'attenzione degli organi aziendali i possibili
miglioramenti, con particolare riferimento al RAF, al processo di
gestione dei rischi nonche' agli strumenti di misurazione e controllo
degli stessi. Sulla base dei risultati dei propri controlli formula
raccomandazioni agli organi aziendali.
In tale ambito, coerentemente con il piano di audit, la funzione
di revisione interna:
- valuta la completezza, l'adeguatezza, la funzionalita',
l'affidabilita' delle altre componenti del sistema dei controlli
interni, del processo di gestione dei rischi e degli altri processi
aziendali, avendo riguardo anche alla capacita' di individuare errori
ed irregolarita'. In tale contesto, sottopone, tra l'altro, a
verifica le funzioni aziendali di controllo dei rischi e di
conformita' alle norme;
- valuta l'efficacia del processo di definizione del RAF, la
coerenza interna dello schema complessivo e la conformita'
dell'operativita' aziendale al RAF e, in caso di strutture
finanziarie particolarmente complesse, la conformita' di queste alle
strategie approvate dagli organi aziendali;
- verifica, anche attraverso accertamenti di natura ispettiva:
a) la regolarita' delle diverse attivita' aziendali, incluse
quelle esternalizzate, e l'evoluzione dei rischi sia nella direzione
generale della banca, sia nelle filiali. La frequenza delle ispezioni
e' coerente con l'attivita' svolta e la propensione al rischio;
tuttavia sono condotti anche accertamenti ispettivi casuali e non
preannunciati;
b) il monitoraggio della conformita' alle norme dell'attivita' di
tutti i livelli aziendali;
c) il rispetto, nei diversi settori operativi, dei limiti
previsti dai meccanismi di delega, e il pieno e corretto utilizzo
delle informazioni disponibili nelle diverse attivita';
d) l'efficacia dei poteri della funzione di controllo dei rischi
di fornire pareri preventivi sulla coerenza con il RAF delle
operazioni di maggior rilievo;
e) l'adeguatezza e il corretto funzionamento dei processi e delle
metodologie di valutazione delle attivita' aziendali e, in
particolare, degli strumenti finanziari;
f) l'adeguatezza, l'affidabilita' complessiva e la sicurezza del
sistema informativo (ICT audit);
g) la rimozione delle anomalie riscontrate nell'operativita' e
nel funzionamento dei controlli (attivita' di «follow-up»);
- effettua test periodici sul funzionamento delle procedure
operative e di controllo interno;
- espleta compiti d'accertamento anche con riguardo a specifiche
irregolarita';
- controlla regolarmente il piano aziendale di continuita'
operativa. In tale ambito, prende visione dei programmi di verifica,
assiste alle prove e ne controlla i risultati, propone modifiche al
piano sulla base delle mancanze riscontrate. La funzione di revisione
interna controlla altresi' i piani di continuita' operativa dei
fornitori di servizi e dei fornitori critici; essa puo' decidere di
fare affidamento sulle strutture di questi ultimi se ritenute
professionali e indipendenti quanto ai risultati dei controlli ed
esamina i contratti per accertare che il livello di tutela sia
adeguato agli obiettivi e agli standard aziendali;
- qualora nell'ambito della collaborazione e dello scambio di
informazioni con il soggetto incaricato della revisione legale dei
conti, viene a conoscenza di criticita' emerse durante l'attivita' di
revisione legale dei conti, si attiva affinche' le competenti
funzioni aziendali adottino i presidi necessari per superare tali
criticita'.
Con specifico riferimento al processo di gestione dei rischi, la
funzione di revisione interna valuta anche:
- l'organizzazione, i poteri e le responsabilita' della funzione
di controllo dei rischi, anche con riferimento alla qualita' e alla
adeguatezza delle risorse a questa assegnate;
- l'appropriatezza delle ipotesi utilizzate nelle analisi di
sensitivita' e di scenario e negli stress test;
- l'allineamento con le best practice diffuse nel settore.
Nello svolgimento dei propri compiti la funzione di revisione
interna tiene conto di quanto previsto dagli standard professionali
diffusamente accettati.
L'organizzazione della funzione di revisione interna e' coerente
con l'articolazione ed il grado di complessita' della banca. Fermo
restando che la funzione va posta alle dirette dipendenze dell'organo
con funzione di supervisione strategica, vanno, tuttavia, preservati
i raccordi con l'organo con funzione di gestione.
Indipendentemente dalle scelte organizzative, e fermo restando
che i destinatari delle comunicazioni delle attivita' di verifica
sono gli organi aziendali e le unita' sottoposte a controllo, nella
regolamentazione interna e' espressamene previsto il potere per la
funzione di revisione interna di comunicare in via diretta i
risultati degli accertamenti e delle valutazioni agli organi
aziendali. Gli esiti degli accertamenti conclusisi con giudizi
negativi o che evidenzino carenze di rilievo sono trasmessi
integralmente, tempestivamente e direttamente agli organi aziendali.
Per svolgere adeguatamente i propri compiti, la funzione di
revisione interna ha accesso a tutte le attivita', comprese quelle
esternalizzate, della banca svolte sia presso gli uffici centrali sia
presso le strutture periferiche. In caso di attribuzione a soggetti
terzi di attivita' rilevanti per il funzionamento del sistema dei
controlli interni (ad es., dell'attivita' di elaborazione dei dati),
la funzione di revisione interna deve poter accedere anche alle
attivita' svolte da tali soggetti.
3.5. Rapporti tra le funzioni aziendali di controllo e altre funzioni
aziendali.
Fermo restando la reciproca indipendenza e i rispettivi ruoli, le
funzioni aziendali di controllo collaborano tra loro e con le altre
funzioni (ad es., funzione legale, organizzazione, sicurezza) allo
scopo di sviluppare le proprie metodologie di controllo in modo
coerente con le strategie e l'operativita' aziendale.
Tenuto conto delle forti interrelazioni tra le diverse funzioni
aziendali di controllo, specie tra le attivita' di controllo di
conformita' alle norme, di controllo dei rischi operativi e di
revisione interna, e' necessario che i compiti e le responsabilita'
delle diverse funzioni siano comunicati all'interno
dell'organizzazione aziendale, in particolare per quanto attiene alla
suddivisione delle competenze relative alla misurazione dei rischi,
alla consulenza in materia di adeguatezza delle procedure di
controllo nonche' alle attivita' di verifica delle procedure
medesime.
Specifica attenzione e' posta nell'articolazione dei flussi
informativi tra le funzioni aziendali di controllo; in particolare, i
responsabili della funzione di controllo dei rischi e della funzione
di conformita' alle norme informano il responsabile della funzione di
revisione interna delle criticita' rilevate nelle proprie attivita'
di controllo che possano essere di interesse per l'attivita' di
audit. Il responsabile della revisione interna informa i responsabili
delle altre funzioni aziendali di controllo per le eventuali
inefficienze, punti di debolezza o irregolarita' emerse nel corso
delle attivita' di verifica di propria competenza e riguardanti
specifiche aree o materie di competenza di queste ultime.
Sezione IV
ESTERNALIZZAZIONE DI FUNZIONI AZIENDALI (OUTSOURCING) AL DI FUORI DEL
GRUPPO BANCARIO
1. Principi generali e requisiti particolari.
Le banche che ricorrono all'esternalizzazione di funzioni
aziendali presidiano i rischi derivanti dalle scelte effettuate e
mantengono la capacita' di controllo e la responsabilita' sulle
attivita' esternalizzate nonche' le competenze tecniche e gestionali
essenziali per re-internalizzare, in caso di necessita', il loro
svolgimento.
La decisione di ricorrere all'outsourcing per lo svolgimento di
determinate funzioni aziendali (anche non importanti) e' coerente con
la politica aziendale in materia di esternalizzazione.
In linea con il principio di proporzionalita', tale politica
stabilisce almeno:
- il processo decisionale per esternalizzare funzioni aziendali
(livelli decisionali; funzioni coinvolte; valutazione dei rischi,
inclusi quelli connessi con potenziali conflitti di interesse del
fornitore di servizi, e l'impatto sulle funzioni aziendali;
valutazione dell'impatto in termini di continuita' operativa; criteri
per la scelta e la due diligence del fornitore);
- il contenuto minimo dei contratti di outsourcing e i livelli di
servizio attesi delle attivita' esternalizzate;
- le modalita' di controllo, nel continuo e con il coinvolgimento
della funzione di revisione interna, delle funzioni esternalizzate;
- i flussi informativi interni volti ad assicurare agli organi
aziendali e alle funzioni aziendali di controllo la piena conoscenza
e governabilita' dei fattori di rischio relativi alle funzioni
esternalizzate;
- i piani di continuita' operativa (clausole contrattuali, piani
operativi, ecc.) in caso di non corretto svolgimento delle funzioni
esternalizzate da parte del fornitore di servizi.
La banca, attraverso il ricorso all'esternalizzazione, non puo':
- delegare le proprie responsabilita', ne' la responsabilita'
degli organi aziendali. In linea con questo principio, a titolo
esemplificativo, non e' ammessa l'esternalizzazione di attivita' che
rientrano tra i compiti degli organi aziendali (cfr. Sezione II) o
che riguardano aspetti nevralgici del processo di erogazione del
credito (ad es., il processo di valutazione del merito di credito e
di monitoraggio delle relazioni creditizie); l'esternalizzazione
delle funzioni aziendali di controllo e' consentita nei limiti e alle
condizioni previsti nel par. 2;
- alterare il rapporto e gli obblighi nei confronti dei suoi
clienti;
- mettere a repentaglio la propria capacita' di rispettare gli
obblighi previsti dalla disciplina di vigilanza ne' mettersi in
condizione di violare le riserve di attivita' previste dalla legge;
- pregiudicare la qualita' del sistema dei controlli interni;
- ostacolare la vigilanza.
Ferma restando l'esigenza di assicurare, per ogni tipologia di
esternalizzazione, il corretto svolgimento della stessa da parte del
fornitore, il buon funzionamento del sistema dei controlli interni e
il monitoraggio continuo dell'attivita' svolta dal fornitore di
servizi, nel caso in cui intendano esternalizzare funzioni operative
importanti le banche assicurano che siano soddisfatte le seguenti
condizioni:
- nell'accordo scritto tra la banca e il fornitore di servizi
sono formalizzati e chiaramente definiti:
a) i rispettivi diritti e obblighi; i livelli di servizio attesi,
espressi in termini oggettivi e misurabili, nonche' le informazioni
necessarie per la verifica del loro rispetto; gli eventuali conflitti
di interesse e le opportune cautele per prevenirli o, se non
possibile, attenuarli; le condizioni al verificarsi delle quali
possono essere apportate modifiche all'accordo; la durata
dell'accordo e le modalita' di rinnovo nonche' gli impegni reciproci
connessi con l'interruzione del rapporto;
b) i livelli di servizio assicurati in caso di emergenza e le
soluzioni di continuita' compatibili con le esigenze aziendali e
coerenti con le prescrizioni dell'Autorita' di vigilanza. Sono
altresi' stabilite le modalita' di partecipazione, diretta o per il
tramite di comitati utente, alle verifiche dei piani di continuita'
operativa dei fornitori.
Sono inoltre previste clausole risolutive espresse che consentano
alla banca di porre termine all'accordo di esternalizzazione in
presenza di eventi che possano compromettere la capacita' del
fornitore di garantire il servizio oppure quando si verifichi il
mancato rispetto del livello di servizio concordato;
- il fornitore di servizi:
a) dispone della competenza, della capacita' e delle
autorizzazioni richieste dalla legge per esercitare, in maniera
professionale e affidabile, le funzioni esternalizzate;
b) informa la banca di qualsiasi evento che potrebbe incidere
sulla sua capacita' di svolgere le funzioni esternalizzate in maniera
efficace e in conformita' con la normativa vigente; in particolare,
comunica tempestivamente il verificarsi di incidenti di sicurezza,
anche al fine di consentire la pronta attivazione delle relative
procedure di gestione o di emergenza;
c) garantisce la sicurezza delle informazioni relative
all'attivita' della banca, sotto l'aspetto della disponibilita',
integrita' e riservatezza; in quest'ambito, assicura il rispetto
delle norme sulla protezione dei dati personali;
- la banca:
a) conserva la competenza richiesta per controllare efficacemente
le funzioni esternalizzate e per gestire i rischi connessi con
l'esternalizzazione, inclusi quelli derivanti da potenziali conflitti
di interessi del fornitore di servizi; in tale ambito, individua,
all'interno della propria organizzazione, un responsabile del
controllo delle singole funzioni esternalizzate dotato di adeguati
requisiti di professionalita' («referente per le attivita'
esternalizzate»);
b) acquisisce i piani di continuita' operativa del fornitore di
servizi o dispone di informazioni adeguate, al fine di valutare la
qualita' delle misure previste e di integrarle con le soluzioni di
continuita' realizzate all'interno;
- la banca, i suoi soggetti incaricati della revisione legale dei
conti e le Autorita' di vigilanza hanno effettivo accesso ai dati
relativi alle attivita' esternalizzate e ai locali in cui opera il
fornitore di servizi. Il diritto di accesso per l'Autorita' di
vigilanza deve risultare espressamente nel contratto, senza oneri
aggiuntivi per l'intermediario;
- la sub-esternalizzazione (ovverosia la possibilita' del
fornitore di esternalizzare a sua volta una parte delle attivita'
oggetto del contratto di esternalizzazione) non deve mettere a
repentaglio il rispetto dei principi e delle condizioni per
l'esternalizzazione previste nella presente disciplina; a tal fine,
il contratto con il fornitore di servizi prevede che eventuali
rapporti di sub-esternalizzazione siano preventivamente concordati
con la banca e siano definiti in modo da consentire il pieno rispetto
di tutte le condizioni sopra elencate relative al contratto primario,
inclusa la possibilita' per l'Autorita' di vigilanza di avere accesso
ai dati relativi alle attivita' esternalizzate e ai locali in cui
opera il sub-fornitore di servizi.
2. Esternalizzazione delle funzioni aziendali di controllo.
L'esternalizzazione delle funzioni aziendali di controllo a
soggetti terzi (19) dotati di requisiti idonei in termini di
professionalita' e indipendenza e' ammessa, di norma, per le sole
banche classificate, a fini SREP, nella macro-categoria 4 (20) .
In aggiunta a quanto previsto dal par. 1 e dalla Sezione III, le
banche che intendono esternalizzare, in tutto o in parte, le funzioni
aziendali di controllo definiscono nell'accordo di esternalizzazione:
- gli obiettivi, la metodologia e la frequenza dei controlli;
- le modalita' e la frequenza della reportistica dovuta al
referente per l'attivita' esternalizzata e agli organi aziendali
sulle verifiche effettuate. Resta fermo l'obbligo di dare riscontro
tempestivamente a qualsiasi richiesta di informazioni e consulenza da
parte di questi ultimi che in ogni caso rimangono responsabili del
corretto espletamento delle attivita' di controllo esternalizzate;
- gli obblighi di riservatezza delle informazioni acquisite
nell'esercizio della funzione;
- i collegamenti con le attivita' svolte dall'organo con funzione
di controllo;
- la possibilita' di richiedere specifiche attivita' di controllo
al verificarsi di esigenze improvvise;
- la proprieta' esclusiva della banca dei risultati dei
controlli.
In linea con quanto previsto dal par. 1, la banca nomina
specifici referenti per ciascuna delle singole funzioni aziendali di
controllo esternalizzate Ai referenti per le funzioni aziendali di
controllo esternalizzate si applicano le disposizioni previste dalla
Sezione III, par. 1, lett. b). Puo' essere nominato un unico
referente per le funzioni aziendali di controllo di secondo livello
esternalizzate.
Il fornitore di servizi presso cui si intendono esternalizzare le
funzioni aziendali di controllo rispetta le seguenti condizioni (21)
:
- e' indipendente rispetto alla banca presso la quale assume
l'incarico;
- non cumula incarichi relativi a funzioni aziendali di controllo
di secondo e di terzo livello per una stessa banca o gruppo bancario;
- non svolge contemporaneamente, per la stessa banca o gruppo
bancario, incarichi relativi a funzioni aziendali di controllo e
attivita' che sarebbe chiamato a controllare in qualita' di fornitore
di servizi;
- non svolge la funzione di revisione legale dei conti per la
banca che esternalizza o per altre societa' del gruppo di
appartenenza.
Nel rispetto delle medesime condizioni, inoltre, le banche, se in
linea con il principio di proporzionalita', possono esternalizzare
specifici controlli, che richiedono conoscenze professionali
specializzate, in aree operative di contenute dimensioni e/o
rischiosita'.
3. Comunicazioni alla Banca d'Italia.
Le banche che intendono esternalizzare, in tutto o in parte, lo
svolgimento di funzioni operative importanti o di controllo ne danno
comunicazione preventiva alla Banca d'Italia. La comunicazione,
corredata di tutte le indicazioni utili a verificare il rispetto dei
criteri indicati nella presente Sezione, e' effettuata almeno 60
giorni prima di conferire l'incarico e specifica le esigenze
aziendali che hanno determinato la scelta. Entro 60 giorni dal
ricevimento della comunicazione la Banca d'Italia puo' avviare un
procedimento amministrativo d'ufficio di divieto
dell'esternalizzazione che si conclude entro 60 giorni.
Entro il 30 aprile di ogni anno le banche trasmettono alla Banca
d'Italia una relazione, redatta dalla funzione di revisione interna -
o, se esternalizzata, dal referente aziendale - con le considerazioni
dell'organo con funzione di controllo e approvata dall'organo con
funzione di supervisione strategica, relativa ai controlli svolti
sulle funzioni operative importanti o di controllo esternalizzate,
alle carenze eventualmente riscontrate e alle conseguenti azioni
correttive adottate.
4. Esternalizzazione del trattamento del contante.
Fatta salva l'applicazione delle disposizioni in materia di
esternalizzazione di funzioni operative importanti della presente
Sezione e al fine di minimizzare i rischi operativi, in particolare
di natura legale, e reputazionali connessi con l'eventuale erogazione
alla clientela di banconote false o di qualita' tale da non renderle
idonee alla circolazione, le banche che esternalizzano l'attivita' di
trattamento del contante adottano specifiche cautele nella gestione
dei rapporti con i soggetti cui l'attivita' e' esternalizzata sia
all'atto della scelta del contraente, che deve fondarsi
sull'accertamento della sua piena affidabilita', della correttezza
della gestione e dell'adeguatezza delle strutture e dei processi
organizzativi, sia nell'esercizio di efficaci controlli successivi,
da svolgere nel continuo per verificare l'ordinato e corretto
svolgimento dell'attivita', nel pieno rispetto delle norme vigenti.
In particolare, le funzioni aziendali di controllo effettuano,
ciascuna per i profili di competenza, una specifica valutazione delle
procedure seguite per l'allacciamento e la gestione dei rapporti con
i soggetti cui e' esternalizzata l'attivita' di trattamento del
contante nonche' del complessivo assetto dei controlli sulle
attivita' esternalizzate. Inoltre, tali funzioni assicurano il
rispetto degli obblighi previsti dalla Decisione della Banca Centrale
Europea del 16 settembre 2010, n. 14 relativa al controllo
dell'autenticita' e idoneita' delle banconote in euro e al loro
ricircolo.
La banca che intende esternalizzare l'attivita' di trattamento
del contante stipula con il fornitore di servizi un contratto
concluso in forma scritta che, oltre a rispettare i requisiti
previsti nel paragrafo precedente, prevede:
- l'obbligo di attenersi alle disposizioni comunitarie sopra
richiamate, con particolare riguardo: (i) all'utilizzo esclusivo di
apparecchiature conformi a detta disciplina; (ii) alle procedure di
verifica delle apparecchiature; (iii) alle attivita' di monitoraggio
che possono essere condotte dalla Banca d'Italia;
- la possibilita' per le banche di verificare la performance del
servizio reso e di richiedere eventuali misure correttive;
- il diritto per la banca di recedere, senza penalita', nel caso
in cui la controparte violi gli obblighi contrattuali e non vi ponga
rimedio entro il periodo di tempo indicato nel contratto stesso.
Sezione V
IL RAF, IL SISTEMA DEI CONTROLLI INTERNI
E L'ESTERNALIZZAZIONE NEI GRUPPI BANCARI
1. Il RAF nei gruppi bancari.
La capogruppo definisce e approva il RAF di gruppo secondo le
indicazioni contenute nell'Allegato C, in quanto compatibili,
assicurando la coerenza tra l'operativita', la complessita' e le
dimensioni del gruppo e il RAF stesso.
Il RAF di gruppo tiene conto delle specifiche operativita' e dei
connessi profili di rischio di ciascuna delle societa' componenti il
gruppo in modo da risultare integrato e coerente. Per il
conseguimento di tale obiettivo e' necessario che gli organi
aziendali della capogruppo svolgano i compiti loro affidati con
riferimento non soltanto alla propria realta' aziendale ma anche
valutando l'operativita' complessiva del gruppo e i rischi cui esso
e' esposto.
Gli organi aziendali delle societa' componenti il gruppo, secondo
le rispettive competenze, agiscono in coerenza con il RAF di gruppo e
sono responsabili della sua attuazione per quanto concerne gli
aspetti relativi alla propria realta' aziendale. A tal fine, e'
necessario che la capogruppo renda partecipi, nei modi ritenuti piu'
opportuni, gli organi aziendali delle controllate delle scelte
effettuate in materia di RAF.
2. Controlli interni di gruppo.
La capogruppo, nel quadro dell'attivita' di direzione e
coordinamento del gruppo, esercita:
a) un controllo strategico sull'evoluzione delle diverse aree di
attivita' in cui il gruppo opera e dei rischi incombenti sulle
attivita' esercitate. Si tratta di un controllo sia sull'andamento
delle attivita' svolte dalle societa' appartenenti al gruppo
(crescita o riduzione per via endogena), sia sulle politiche di
acquisizione e dismissione da parte delle societa' del gruppo
(crescita o riduzione per via esogena);
b) un controllo gestionale volto ad assicurare il mantenimento
delle condizioni di equilibrio economico, finanziario e patrimoniale
sia delle singole societa', sia del gruppo nel suo insieme. Queste
esigenze di controllo vanno soddisfatte preferibilmente attraverso la
predisposizione di piani, programmi e budget (aziendali e di gruppo),
e mediante l'analisi delle situazioni periodiche, dei conti
infra-annuali, dei bilanci di esercizio delle singole societa' e di
quelli consolidati; cio' sia per settori omogenei di attivita' sia
con riferimento all'intero gruppo;
c) un controllo tecnico-operativo finalizzato alla valutazione
dei vari profili di rischio apportati al gruppo dalle singole
controllate e dei rischi complessivi del gruppo.
La capogruppo che esercita l'attivita' di direzione e
coordinamento in violazione dei principi di corretta gestione
societaria e imprenditoriale e' responsabile ai sensi degli artt.
2497 e ss. del codice civile.
La capogruppo dota il gruppo di un sistema unitario di controlli
interni che consenta l'effettivo controllo sia sulle scelte
strategiche del gruppo nel suo complesso sia sull'equilibrio
gestionale delle singole componenti.
Per definire il sistema dei controlli interni del gruppo
bancario, la capogruppo applica, per quanto compatibili, le
disposizioni previste nelle precedenti Sezioni. A livello di gruppo -
tenendo conto delle disposizioni in materia di organizzazione e
controllo dei soggetti diversi dalle banche - vanno anche stabiliti e
definiti:
- procedure formalizzate di coordinamento e collegamento fra le
societa' appartenenti al gruppo e la capogruppo per tutte le aree di
attivita';
- compiti e responsabilita' degli organi e delle funzioni di
controllo all'interno del gruppo, le procedure di coordinamento, i
riporti organizzativi, i flussi informativi e i relativi raccordi; a
tali fini, l'organo con funzione di supervisione strategica della
capogruppo approva un apposito documento di coordinamento dei
controlli nell'ambito del gruppo. La relazione che le funzioni
aziendali di controllo della capogruppo devono presentare agli organi
aziendali (cfr. Sezione III, par. 2) illustra le verifiche
effettuate, i risultati emersi, i punti di debolezza rilevati con
riferimento, oltre che alla capogruppo medesima, anche al gruppo
bancario nel suo complesso e propone gli interventi da adottare per
la rimozione delle carenze rilevate;
- meccanismi di integrazione dei sistemi informativi e dei
processi di gestione dei dati (specie per le societa' appartenenti al
gruppo aventi sede in paesi che adottano diversi schemi/criteri
contabili o di rilevazione), anche al fine di garantire
l'affidabilita' delle rilevazioni su base consolidata;
- flussi informativi periodici che consentano l'effettivo
esercizio delle varie forme di controllo su tutte le componenti del
gruppo;
- procedure che garantiscano, a livello accentrato, un efficace
processo unitario di gestione dei rischi del gruppo a livello
consolidato. In particolare, vi deve essere un'anagrafe unica, o piu'
anagrafi che siano facilmente raccordabili, presso le diverse
societa' del gruppo in modo da consentire l'univoca identificazione,
da parte delle diverse entita', dei singoli clienti e controparti,
dei gruppi di clienti connessi e dei soggetti collegati e rilevare
correttamente, a livello consolidato, la loro esposizione complessiva
ai diversi rischi;
- sistemi per monitorare i flussi finanziari, le relazioni di
credito (in particolare le prestazioni di garanzie) e le altre
relazioni fra i soggetti componenti il gruppo;
- controlli sul raggiungimento degli obiettivi di sicurezza
informatica e di continuita' operativa definiti per l'intero gruppo e
le singole componenti.
L'organo con funzione di controllo della societa' capogruppo
vigila anche sul corretto esercizio delle attivita' di controllo
svolte dalla capogruppo sulle societa' del gruppo.
La capogruppo formalizza e rende noti a tutte le societa' del
gruppo i criteri che presiedono le diverse fasi che costituiscono il
processo di gestione dei rischi. Essa, inoltre, convalida i processi
di gestione dei rischi all'interno del gruppo. Per quanto riguarda in
particolare il rischio di credito, la capogruppo fissa i criteri di
valutazione delle posizioni e crea una base informativa comune che
consenta a tutte le societa' appartenenti al gruppo di conoscere
l'esposizione dei clienti nei confronti del gruppo nonche' le
valutazioni inerenti alle posizioni dei soggetti affidati. La
capogruppo decide, infine, in merito all'adozione dei sistemi interni
di misurazione dei rischi per la determinazione dei requisiti
patrimoniali e ne determina le caratteristiche essenziali,
assumendosi la responsabilita' della realizzazione del progetto
nonche' della supervisione sul corretto funzionamento di tali sistemi
e sul loro costante adeguamento sotto il profilo metodologico,
organizzativo e procedurale.
Ciascuna societa' del gruppo si dota di un sistema dei controlli
interni che sia coerente con la strategia e la politica del gruppo in
materia di controlli, fermo restando il rispetto della disciplina
eventualmente applicabile su base individuale.
Nel caso di controllate estere, e' necessario che la capogruppo,
nel rispetto dei vincoli locali, adotti tutte le iniziative atte a
garantire standard di controllo e presidi comparabili a quelli
previsti dalle disposizioni di vigilanza italiane, anche nei casi in
cui la normativa dei paesi in cui sono insediate le filiazioni non
preveda analoghi livelli di attenzione.
Per verificare la rispondenza dei comportamenti delle societa'
appartenenti al gruppo agli indirizzi della capogruppo nonche'
l'efficacia del sistema dei controlli interni, la capogruppo si
attiva affinche', nei limiti dell'ordinamento, la funzione di
revisione interna a livello consolidato effettui periodicamente
verifiche in loco sulle componenti del gruppo, tenuto conto della
rilevanza delle diverse tipologie di rischio assunte dalle diverse
entita'.
3. Esternalizzazione di funzioni aziendali all'interno del gruppo
bancario.
La capogruppo definisce la politica aziendale in materia di
esternalizzazione all'interno del gruppo bancario.
La politica stabilisce almeno:
- il processo decisionale per esternalizzare funzioni aziendali
presso la capogruppo o altre componenti del gruppo;
- i presidi adottati per assicurare una adeguata tutela degli
interessi di eventuali soci di minoranza;
- i criteri per individuare il fornitore di servizi all'interno
del gruppo, e gli obblighi previsti per tale soggetto; in
particolare, con riferimento alle funzioni operative importanti, il
fornitore di servizi:
a) dispone della competenza, della capacita' e delle
autorizzazioni richieste dalla legge per esercitare, in maniera
professionale e affidabile, le funzioni esternalizzate;
b) informa la capogruppo e la banca che esternalizza di qualsiasi
evento che potrebbe incidere sulla sua capacita' di svolgere le
funzioni esternalizzate in maniera efficace e in conformita' con la
normativa vigente;
c) comunica tempestivamente il verificarsi di incidenti di
sicurezza, anche al fine di consentire la pronta attivazione delle
relative procedure di gestione o di emergenza;
d) garantisce la sicurezza delle informazioni relative
all'attivita' della banca che esternalizza, sotto l'aspetto della
disponibilita', integrita' e riservatezza; in quest'ambito, assicura
il rispetto delle norme sulla protezione dei dati personali;
- il contenuto minimo dei contratti di outsourcing e i livelli di
servizio attesi delle attivita' esternalizzate;
- i livelli di servizio assicurati in caso di emergenza e le
soluzioni di continuita' compatibili con le esigenze aziendali e
coerenti con le prescrizioni dell'Autorita' di vigilanza;
- i flussi informativi volti ad assicurare agli organi aziendali
della capogruppo e della banca che esternalizza e alle funzioni
aziendali di controllo di tali soggetti la piena conoscenza e
governabilita' dei fattori di rischio relativi alle funzioni
esternalizzate.
La banca appartenente a un gruppo bancario, ferma restando la
responsabilita' per le attivita' esternalizzate, puo' derogare alle
disposizioni in materia di esternalizzazione previste alla Sezione IV
se rispetta la politica aziendale in materia di esternalizzazione
all'interno del gruppo. Attraverso il ricorso all'esternalizzazione,
la banca non puo':
- delegare le proprie responsabilita', ne' la responsabilita'
degli organi aziendali. In linea con questo principio, a titolo
esemplificativo, non e' ammessa l'esternalizzazione di attivita' che
rientrano tra i compiti degli organi aziendali (cfr. Sezione II);
- alterare il rapporto e gli obblighi nei confronti dei suoi
clienti;
- mettere a repentaglio la propria capacita' di rispettare gli
obblighi previsti dalla disciplina di vigilanza ne' mettersi in
condizione di violare le riserve di attivita' previste dalla legge;
- pregiudicare la qualita' del sistema dei controlli interni,
tenuto conto dell'assetto complessivo dei controlli del gruppo di
appartenenza;
- ostacolare la vigilanza.
3.1. L'esternalizzazione nell'ambito del gruppo delle funzioni
aziendali di controllo.
Fermo restando quanto previsto nel par. 3, al fine di assicurare
l'effettivita' e l'integrazione dei controlli, l'esternalizzazione
delle funzioni aziendali di controllo presso la capogruppo o le altre
componenti del gruppo e' consentita, indipendentemente dalle
dimensioni e dalla complessita' operativa della banca, nel rispetto
dei seguenti criteri:
- sono valutati e documentati, in una logica di gruppo, i costi,
i benefici e i rischi alla base della soluzione adottata; tale
analisi deve essere periodicamente aggiornata;
- gli organi aziendali delle componenti del gruppo sono
consapevoli delle scelte effettuate dalla capogruppo e sono
responsabili, ciascuno secondo le proprie competenze,
dell'attuazione, nell'ambito delle rispettive realta' aziendali,
delle strategie e politiche perseguite in materia di controlli,
favorendone l'integrazione nell'ambito dei controlli di gruppo;
- all'interno delle banche del gruppo e delle altre entita' che,
a giudizio della capogruppo, assumono rischi considerati rilevanti
per il gruppo nel suo complesso, vengono nominati appositi referenti
i quali: i) svolgono compiti di supporto per la funzione aziendale di
controllo esternalizzata; ii) riportano funzionalmente alla funzione
aziendale di controllo esternalizzata; iii) segnalano tempestivamente
eventi o situazioni particolari, suscettibili di modificare i rischi
generati dalla controllata (22) . A tali referenti si applicano le
disposizioni previste dalla Sezione III, par. 1, lett. b). Puo'
essere nominato un unico referente per le sole funzioni aziendali di
controllo di secondo livello esternalizzate.
4. Comunicazioni alla Banca d'Italia.
Le banche che intendono esternalizzare, in tutto o in parte, lo
svolgimento di funzioni operative importanti o di controllo
nell'ambito del gruppo di appartenenza ne danno comunicazione
preventiva alla Banca d'Italia, tramite la propria capogruppo. La
comunicazione, corredata di tutte le indicazioni utili a verificare
il rispetto dei criteri indicati nella presente Sezione, e'
effettuata almeno 60 giorni prima di conferire l'incarico e specifica
le esigenze aziendali che hanno determinato la scelta. Entro 60
giorni dal ricevimento della comunicazione la Banca d'Italia puo'
avviare un procedimento amministrativo d'ufficio di divieto
dell'esternalizzazione che si conclude entro 60 giorni.
La capogruppo, sulla base delle relazioni delle funzioni
aziendali di controllo (cfr. Sezione III, par. 2 e par. 2 della
presente Sezione), invia annualmente alla Banca d'Italia una
relazione riguardante gli accertamenti effettuati sulle societa'
controllate e i risultati emersi, i punti di debolezza rilevati con
riferimento sia al gruppo bancario nel suo complesso sia alle singole
entita' e la descrizione degli interventi da adottare per la
rimozione delle carenze rilevate.
Sezione VI
IMPRESE DI RIFERIMENTO
Le imprese di riferimento sono responsabili del calcolo dei
requisiti patrimoniali e del rispetto delle disposizioni prudenziali
applicabili su base consolidata (23) ; a tali fini, il sistema di
controlli interni nel suo complesso assicura la correttezza,
l'adeguatezza e la tempestivita' dei flussi informativi con le altre
societa' bancarie, finanziarie e strumentali controllate dalla
societa' di partecipazione finanziaria madre nell'UE necessari per
rispettare gli obblighi imposti dalle disposizioni prudenziali.
Sezione VII
SUCCURSALI DI BANCHE COMUNITARIE E DI BANCHE EXTRACOMUNITARIE AVENTI
SEDE NEI PAESI DEL GRUPPO DEI DIECI O IN QUELLI INCLUSI IN UN ELENCO
PUBBLICATO DALLA BANCA D'ITALIA
Nel caso delle succursali di banche comunitarie e delle
succursali di banche extracomunitarie aventi sede nei paesi del
Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e
periodicamente aggiornato dalla Banca d'Italia, il legale
rappresentante attesta annualmente che e' stata condotta una verifica
di conformita' della condotta aziendale rispetto alle norme italiane
applicabili alla succursale e riferisce sinteticamente alla Banca
d'Italia in merito all'esito di tale verifica (24) .
A tal fine, la banca verifica che le procedure interne adottate
dalla succursale stessa siano adeguate rispetto all'obiettivo di
prevenire la violazione delle norme italiane applicabili alla
succursale.
Nel caso delle succursali di banche extracomunitarie aventi sede
nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco
pubblicato e periodicamente aggiornato dalla Banca d'Italia, il
legale rappresentante attesta altresi' che la completezza,
l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei
controlli interni e' stata verificata attraverso un processo di
revisione interna.
Sezione VIII
INFORMATIVA ALLA BANCA D'ITALIA
Le banche comunicano tempestivamente alla Banca d'Italia la
nomina e l'eventuale revoca dei responsabili delle funzioni aziendali
di controllo. Nel caso di gruppi bancari tale comunicazione e'
eseguita dalla capogruppo.
Le banche non appartenenti a gruppi bancari trasmettono inoltre
alla Banca d'Italia:
- tempestivamente, le relazioni sull'attivita' svolta redatte
annualmente dalle funzioni di controllo dei rischi, di conformita'
alle norme e di revisione interna (cfr. Sezione III, par. 2). Se una
o piu' di queste funzioni sono esternalizzate, la relazione e'
redatta dal referente aziendale;
- entro il 30 aprile di ogni anno, una relazione, redatta dalla
funzione di revisione interna - o, se esternalizzata, dal referente
aziendale - con le considerazioni dell'organo con funzione di
controllo e approvata dall'organo con funzione di supervisione
strategica, relativa ai controlli svolti sulle funzioni operative
importanti esternalizzate, alle carenze eventualmente riscontrate e
alle conseguenti azioni correttive adottate (cfr. Sezione IV, par.
3);
- qualora ve ne siano le condizioni, la relazione di cui al punto
2.1 dell'Allegato A.
Le banche non appartenenti a gruppi che intendono esternalizzare,
in tutto o in parte, lo svolgimento di funzioni operative importanti
o di controllo ne danno comunicazione preventiva alla Banca d'Italia
(cfr. Sezione IV, par. 3).
Nel caso di gruppi bancari, le capogruppo coordinano e
trasmettono alla Banca d'Italia, per tutte le banche del gruppo, la
stessa documentazione richiesta nel caso delle banche non
appartenenti a gruppi bancari, ad eccezione delle relazioni delle
funzioni aziendali di controllo delle societa' controllate (Sezione
III, par. 2). In luogo di queste ultime, inviano annualmente alla
Banca d'Italia la relazione di cui alla Sezione V, par. 4,
riguardante gli accertamenti effettuati sulle societa' controllate e
i risultati emersi, i punti di debolezza rilevati con riferimento sia
al gruppo bancario nel suo complesso sia alle singole entita' e la
descrizione degli interventi da adottare per la rimozione delle
carenze rilevate.
Le capogruppo danno comunicazione preventiva alla Banca d'Italia
dell'intenzione delle banche di esternalizzare, in tutto o in parte,
lo svolgimento di funzioni operative importanti o di controllo
nell'ambito del gruppo bancario di appartenenza (cfr. Sezione V, par.
4).
Nel caso delle succursali di banche comunitarie e delle
succursali di banche extracomunitarie aventi sede nei paesi del
Gruppo dei Dieci ovvero in quelli inclusi in un elenco pubblicato e
periodicamente aggiornato dalla Banca d'Italia, il legale
rappresentante attesta annualmente che e' stata condotta una verifica
di conformita' della condotta aziendale rispetto alle norme italiane
applicabili alla succursale e riferisce sinteticamente alla Banca
d'Italia in merito all'esito di tale verifica (cfr. Sezione VII).
Nel caso delle succursali di banche extracomunitarie aventi sede
nei paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco
pubblicato e periodicamente aggiornato dalla Banca d'Italia, il
legale rappresentante attesta altresi' che la completezza,
l'adeguatezza, la funzionalita', l'affidabilita' del sistema dei
controlli interni e' stata verificata attraverso un processo di
revisione interna (cfr. Sezione VII).
Le succursali di banche extracomunitarie non aventi sede nei
paesi del Gruppo dei Dieci ovvero in quelli inclusi in un elenco
pubblicato e periodicamente aggiornato dalla Banca d'Italia,
individuano un referente per ciascuna funzione aziendale di controllo
della succursale. I nominativi dei referenti e le eventuali
variazioni sono comunicati alla Banca d'Italia.
Allegato A
DISPOSIZIONI SPECIALI RELATIVE
A PARTICOLARI CATEGORIE DI RISCHIO
1. Premessa.
Vengono in questa sede individuate disposizioni speciali in
materia di controlli interni, che assumono valenza per la generalita'
delle banche e dei gruppi bancari, relativamente a specifiche
categorie di rischio. Nel caso in cui la banca utilizzi sistemi
interni di misurazione dei rischi per la determinazione dei requisiti
patrimoniali (credito, controparte, mercato, operativi), queste
indicazioni devono essere integrate con i principi di carattere
organizzativo previsti dalle rispettive discipline, i quali
costituiscono una delle condizioni per il riconoscimento, a fini
prudenziali, di tali sistemi.
2. Rischio di credito e di controparte.
L'intero processo di gestione del rischio di credito e di
controparte (misurazione del rischio, istruttoria, erogazione,
controllo andamentale e monitoraggio delle esposizioni, revisione
delle linee di credito, classificazione delle posizioni di rischio,
interventi in caso di anomalia, criteri di classificazione,
valutazione e gestione delle esposizioni deteriorate) deve risultare
dal regolamento interno ed essere periodicamente sottoposto a
verifica.
Nel definire i criteri per l'erogazione dei crediti, il
regolamento interno assicura che la diversificazione dei vari
portafogli esposti al rischio di credito sia coerente con gli
obiettivi di mercato e la strategia complessiva della banca.
La corretta misurazione del rischio di credito presuppone che le
banche abbiano in ogni momento conoscenza della propria esposizione
verso ciascun cliente e verso ciascun gruppo di clienti connessi (con
rilevanza sia delle connessioni di carattere giuridico sia di quelle
di tipo economico-finanziario). A tale fine, e' indispensabile la
disponibilita' di basi dati complete ed aggiornate, di un sistema
informativo che ne consenta lo sfruttamento ai fini richiesti, di
un'anagrafe clienti attraverso cui generare ed aggiornare, a livello
individuale e, nel caso di un gruppo bancario, consolidato, i dati
identificativi della clientela, le connessioni giuridiche ed
economico-finanziarie tra clienti diversi, le forme tecniche da cui
deriva l'esposizione, il valore aggiornato delle tecniche di
attenuazione dei rischi.
La corretta rilevazione e gestione di tutte le informazioni
necessarie riveste particolare importanza nelle procedure per
l'assunzione di grandi rischi. A tal fine, le banche sono tenute al
rispetto della disciplina dettata nel Titolo V, Capitolo 1, Sezione
V.
Nella fase istruttoria, le banche acquisiscono tutta la
documentazione necessaria per effettuare un'adeguata valutazione del
merito di credito del prenditore, sotto il profilo patrimoniale e
reddituale, e una corretta remunerazione del rischio assunto. La
documentazione deve consentire di valutare la coerenza tra importo,
forma tecnica e progetto finanziato; essa deve inoltre permettere
l'individuazione delle caratteristiche e della qualita' del
prenditore, anche alla luce del complesso delle relazioni
intrattenute. Nel caso di affidamenti ad imprese, sono acquisiti i
bilanci (individuali e, se disponibili, consolidati), le altre
informazioni desumibili dalla Centrale dei Bilanci e ogni altra
informazione, significativa e rilevante, per valutare la situazione
aziendale attuale e prospettica dell'impresa, anche di carattere
qualitativo (validita' del progetto imprenditoriale, assetti
proprietari, esame della situazione del settore economico di
appartenenza, situazione dei mercati di sbocco e di fornitura, ecc.).
Le procedure di sfruttamento delle informazioni devono fornire
indicazioni circostanziate sul livello di affidabilita' del cliente
(ad es., attraverso sistemi di credit scoring e/o di rating). Nel
caso in cui l'affidato faccia parte di un gruppo, la valutazione
tiene conto anche della situazione e delle prospettive del gruppo nel
suo complesso. Al fine di conoscere la valutazione degli affidati da
parte del sistema bancario le banche utilizzano, anche nella
successiva fase di controllo andamentale e monitoraggio delle
esposizioni, le informazioni fornite dalla Centrale dei Rischi.
Le deleghe in materia di erogazione del credito devono risultare
da apposita delibera dell'organo con funzione di supervisione
strategica e devono essere commisurate alle caratteristiche
dimensionali della banca. Nel caso di fissazione di limiti «a
cascata» (quando, cioe', il delegato delega a sua volta entro i
limiti a lui attribuiti), la griglia dei limiti risultanti deve
essere documentata. Il soggetto delegante deve inoltre essere
periodicamente informato sull'esercizio delle deleghe, al fine di
poter effettuare le necessarie verifiche.
Il controllo andamentale e il monitoraggio delle singole
esposizioni devono essere svolti con sistematicita', avvalendosi di
procedure efficaci in grado di segnalare tempestivamente l'insorgere
di anomalie e di assicurare l'adeguatezza delle rettifiche di valore
e dei passaggi a perdita.
I criteri di classificazione, valutazione e gestione delle
esposizioni deteriorate (25) , nonche' le relative unita'
responsabili devono essere stabiliti dall'organo con funzione di
supervisione strategica con apposita delibera che indichi anche le
modalita' di raccordo tra tali criteri e quelli previsti per le
segnalazioni di vigilanza. La deroga all'applicazione dei criteri
prefissati e' consentita esclusivamente in casi predeterminati e
seguendo procedure rafforzate, che prevedano il coinvolgimento
dell'organo con funzione di gestione. Devono essere altresi'
stabilite procedure atte a individuare, in dettaglio, gli interventi
da attuare in presenza di deterioramento delle posizioni di rischio.
In particolare, la determinazione del valore di recupero dei
crediti deteriorati tiene conto dei seguenti fattori: i) tipologia di
procedura esecutiva attivata ed esito delle fasi gia' esperite; ii)
valore di pronto realizzo delle garanzie (calcolando per i beni
immobili haircut in funzione dell'aggiornamento della perizia e del
contesto di mercato; per le attivita' finanziarie scarti coerenti con
la natura del prodotto e la situazione di mercato); iii) criteri per
la stima del periodo di recupero e dei tassi di attualizzazione dei
flussi attesi. Le suddette indicazioni sono periodicamente aggiornate
sulla base dell'evoluzione del quadro di riferimento.
La verifica del corretto svolgimento del monitoraggio andamentale
sulle singole esposizioni, in particolare di quelle deteriorate, e la
valutazione della coerenza delle classificazioni, della congruita'
degli accantonamenti e dell'adeguatezza del processo di recupero e'
svolta, a livello centrale e periferico, dalla funzione di controllo
dei rischi o, per le banche di maggiore dimensione e complessita'
operativa, da una specifica unita', che riporta al responsabile della
funzione di controllo dei rischi.
Tali unita' verificano, tra l'altro, l'operato delle unita'
operative e di recupero crediti, assicurando la corretta
classificazione delle esposizioni deteriorate e l'adeguatezza del
relativo grado di irrecuperabilita' (26) . Nel caso di valutazioni
discordanti, si applicano le valutazioni formulate dalla funzione di
controllo dei rischi.
L'internal audit assicura periodiche verifiche sull'affidabilita'
ed efficacia del complessivo processo.
Gli organi aziendali, nell'ambito delle rispettive competenze,
sono costantemente aggiornati dei risultati conseguiti
nell'applicazione dei criteri e delle procedure individuate e
valutano l'esigenza di definire interventi di miglioramento di tali
criteri e procedure.
Il sistema dei controlli interni deve, infine, garantire che
l'intero processo di gestione del rischio ricomprenda l'esposizione
al rischio di credito derivante dall'operativita' diversa dalla
tipica attivita' di finanziamento, costituita dai derivati finanziari
e di credito, dalle operazioni SFT («securities financing
transactions») e da quelle con regolamento a lungo termine, cosi'
come definite nella disciplina relativa al trattamento prudenziale
dei rischi di controparte.
A tal fine, le banche sono tenute anche al rispetto dei requisiti
organizzativi per l'operativita' in derivati di credito (27) .
Nel caso di partecipazione ad accordi di compensazione, su base
bilaterale o multilaterale, che misurano il rischio di controparte
sulla base dell'esposizione netta anziche' lorda, le banche
verificano che gli accordi abbiano fondamento giuridico. Nel caso in
cui i predetti accordi intendano riconoscere anche a fini prudenziali
l'effetto di riduzione del rischio devono attenersi al rispetto dei
criteri previsti dalla normativa (cfr. Titolo II, Capitolo 3, Sezione
II, par. 10).
L'esigenza di assicurare idonei presidi non viene meno nei casi
in cui i finanziamenti sono concessi nella forma del rilascio di
garanzie, posto che il credito di firma concesso espone la banca al
rischio di dover successivamente intervenire con una erogazione per
cassa, attivando conseguentemente le azioni di recupero. Cio' in
particolare quando il rilascio di garanzie costituisce l'attivita'
esclusiva o prevalente della banca.
I presidi organizzativi devono pertanto assicurare anche:
- l'approfondita conoscenza - sin dall'inizio della relazione e
per tutta la durata della stessa - della capacita' dei garantiti di
adempiere le proprie obbligazioni (incluse quelle di fare);
- il costante monitoraggio degli impegni assunti con riferimento
sia al volume sia al grado di rischiosita' degli stessi, specie in
situazioni di elevata rotazione delle garanzie rilasciate.
Una particolare attenzione va inoltre posta nella definizione
della contrattualistica, al fine di prevenire o limitare l'insorgere
di contenziosi con riferimento sia all'attivazione delle garanzie
rilasciate, sia alle successive eventuali azioni di rivalsa nei
confronti dei garantiti.
Le banche si astengono dal sottoscrivere i contratti relativi
alle garanzie rilasciate prima della definizione di tutti gli
elementi essenziali del rapporto (in particolare: indicazione del
beneficiario, prestazione dovuta dal garantito, ammontare e durata
della garanzia, modalita' di liberazione dall'obbligo di garanzia o
di rinnovo della stessa).
Al fine di assicurare il monitoraggio dell'esposizione, anche per
il rispetto dei requisiti prudenziali in presenza elevata rotazione
delle garanzie, il sistema delle rilevazioni contabili aziendali deve
consentire di ricostruire la successione temporale delle operazioni
effettuate.
2.1. Valutazione del merito di credito.
Le disposizioni in materia di determinazione dei requisiti
patrimoniali a fronte del rischio di credito nel metodo
standardizzato, prevedono l'applicazione di coefficienti di
ponderazione diversificati in funzione delle valutazioni del merito
creditizio rilasciate dalle ECAI.
Il riconoscimento di un'ECAI, effettuato dalla Banca d'Italia
mediante la procedura di cui al Titolo II, Capitolo 1, Parte Prima,
Sezione VIII, non implica una valutazione di merito sulla validita'
dei giudizi attribuiti o un supporto alle metodologie utilizzate, di
cui le ECAI restano le uniche responsabili; esso e' volto a
consentire alle banche l'utilizzo dei rating esterni ai fini del
calcolo dei requisiti patrimoniali.
L'utilizzo dei rating esterni non esaurisce il processo di
valutazione del merito di credito che le banche devono svolgere nei
confronti della clientela sovvenuta; esso rappresenta soltanto uno
degli elementi che possono contribuire alla definizione del quadro
informativo sulla qualita' creditizia del cliente.
Le banche si dotano, pertanto, di metodologie interne che
consentano una valutazione del rischio di credito derivante da
esposizioni nei confronti di singoli prenditori, titoli, posizioni
verso le cartolarizzazioni nonche' del rischio di credito a livello
di portafoglio (28) . Tali metodologie non devono basarsi
meccanicamente sulle valutazioni espresse dalle ECAI.
La valutazione del merito di credito svolta dalla banca in base
alle risultanze dell'attivita' istruttoria e delle sue metodologie
interne puo' discostarsi da quelle effettuate dalle ECAI.
Divergenze frequenti nella valutazione del merito di credito
possono essere indice di incompletezza e scarsa accuratezza del
sistema di valutazione dell'agenzia esterna e costituiscono utili
informazioni ai fini della periodica valutazione che la Banca
d'Italia effettua sulla permanenza dei presupposti per il
riconoscimento delle ECAI.
Le banche, oltre ad analizzare la qualita' dei singoli prenditori
nell'ambito del processo di gestione del rischio, sono tenute a
effettuare, con periodicita' almeno annuale, una specifica
valutazione della complessiva coerenza dei rating delle ECAI con le
valutazioni elaborate in autonomia. I risultati dell'esame sono
formalizzati in un documento approvato dall'organo con funzione di
gestione e portato a conoscenza dell'organo con funzione di
supervisione strategica e dell'organo con funzione di controllo. Ove
dall'esame emergano frequenti e significativi disallineamenti fra
valutazioni interne ed esterne, copia della citata relazione e'
trasmessa alla Banca d'Italia.
3. Rischi derivanti dall'utilizzo di tecniche di attenuazione del
rischio di credito.
Requisiti organizzativi specifici per la gestione dei rischi
derivanti dall'utilizzo di tecniche di attenuazione del rischio di
credito sono contenute nel Titolo II, Capitolo 2, Parte Prima,
Sezione II.
4. Concentrazione dei rischi.
Regole organizzative specifiche in materia di grandi rischi sono
contenute nel Titolo V, Capitolo 1, Sezione V.
Inoltre, il sistema dei controlli interni assicura la gestione e
il controllo, anche attraverso specifiche politiche e procedure
aziendali, dei rischi di concentrazione derivanti dalle esposizioni
nei confronti di clienti, incluse le controparti centrali, gruppi di
clienti connessi, clienti operanti nel medesimo settore economico,
nella medesima regione geografica o che esercitano la stessa
attivita' o trattano la stessa merce nonche' dall'applicazione di
tecniche di attenuazione del rischio di credito, compresi in
particolare i rischi derivanti da esposizioni indirette come, ad
esempio, nei confronti di singoli fornitori di garanzie (cfr. Titolo
III, Capitolo 1, Allegato B).
5. Rischi derivanti da operazioni di cartolarizzazione.
Regole organizzative specifiche in materia di operazioni di
cartolarizzazione sono contenute nel Titolo II, Capitolo 2, Parte
Seconda, Sezione VII.
In particolare, il sistema dei controlli interni assicura che i
rischi derivanti da tali operazioni inclusi i rischi reputazionali
derivanti, ad esempio, dall'utilizzo di strutture o prodotti
complessi, siano gestiti e valutati attraverso adeguate politiche e
procedure volte a garantire che la sostanza economica di dette
operazioni sia pienamente in linea con la loro valutazione di
rischiosita' e con le decisioni degli organi aziendali.
6. Rischi di mercato.
I principali requisiti relativi al processo di gestione dei
rischi di mercato sono riportati nel Titolo II, Capitolo 4.
Il sistema di controlli interni, in particolare, assicura
l'attuazione di politiche e procedure volte a identificare, misurare
e gestire tutte le fonti e gli effetti derivanti dall'esposizione a
rischi di mercato.
Nei casi in cui una posizione corta abbia scadenza inferiore
rispetto alla relativa posizione lunga, la banca adotta adeguati
presidi volti a prevenire il rischio di liquidita'.
In ogni caso, le banche che non sono in grado di misurare e
gestire correttamente i rischi associati a strumenti finanziari
sensibili a piu' fattori di rischio devono astenersi dalla
negoziazione di tali strumenti (cfr. Titolo II, Capitolo 4, Parte
Seconda, Sezione II).
7. Rischio tasso di interesse derivante da attivita' non appartenenti
al portafoglio di negoziazione a fini di vigilanza.
Le banche predispongono adeguati sistemi volti a identificare,
valutare e gestire i rischi derivanti da potenziali variazioni del
livello dei tassi di interesse riguardanti attivita' non appartenenti
al portafoglio di negoziazione a fini di vigilanza (cfr. Titolo III,
Capitolo 1, Allegato C).
8. Rischi operativi.
Diversamente dagli altri rischi di «primo pilastro», per i quali
la banca, in base alla sua propensione al rischio, assume
consapevolmente posizioni creditizie o finanziarie per raggiungere il
desiderato profilo di rischio/rendimento, l'assunzione di rischi
operativi risulta implicita nella decisione di intraprendere un
determinato tipo di attivita' e, piu' in generale, nello svolgimento
dell'attivita' d'impresa.
In tale contesto, il sistema dei controlli interni deve
costituire il presidio principale per la prevenzione ed il
contenimento di tali rischi. In particolare, devono essere approvate
e attuate politiche e procedure aziendali volte a definire,
identificare, valutare e gestire l'esposizione ai rischi operativi,
inclusi quelli derivanti da eventi caratterizzati da bassa frequenza
e particolare gravita'.
Le disposizioni in materia di governo e gestione dei rischi
operativi sono riportate nel Titolo II, Capitolo 5. Esse si
differenziano in relazione al tipo di trattamento prudenziale
adottato dalla banca.
Le banche, inoltre, applicano le linee guida del CEBS/EBA in
materia di gestione dei rischi operativi derivanti dall'attivita' di
trading (cfr. CEBS/EBA GL35, «Guidelines on management of operational
risks in market-related activities»).
9. Rischio di liquidita'.
Considerata l'importanza crescente che il rischio di liquidita'
ha assunto nel corso del tempo, i principi e le linee guida del
sistema dei controlli interni sono trattati nel piu' ampio contesto
dei presidi organizzavi da predisporre a fronte di questa categoria
di rischio (Titolo V, Capitolo 2, Sezione V).
10. Rischio di leva finanziaria eccessiva.
Le banche si dotano di politiche e procedure aziendali volte a
identificare, gestire e monitorare il rischio di eccessiva leva
finanziaria. Indicatori di tale tipologia di rischio sono l'indice di
leva finanziaria e i disallineamenti tra attivita' e passivita'.
Le banche gestiscono conservativamente il rischio di eccessiva
leva finanziaria considerando i potenziali incrementi di tale rischio
dovuti alle riduzioni dei fondi propri della banca causate da perdite
attese o realizzate derivanti dalle regole contabili applicabili. A
tal fine, le banche devono essere in grado di far fronte a diverse
situazioni di stress con riferimento al rischio di leva finanziaria
eccessiva.
11. Rischi connessi con l'emissione di obbligazioni bancarie
garantite.
Regole di dettaglio in materia di responsabilita' degli organi
aziendali e controlli sulle banche che emettono obbligazioni bancarie
garantite sono riportate nel Titolo V, Capitolo 3, Sezione II, par.
5.
12. Rischi connessi con l'assunzione di partecipazioni.
Al fine di gestire i rischi specifici connessi con l'assunzione
di partecipazioni da parte di banche e gruppi bancari, specifiche
regole organizzative e di governo societario sono contenute nel
Titolo V, Capitolo 4, Sezione VII.
13. Attivita' di rischio e conflitti di interesse nei confronti di
soggetti collegati.
Con specifico riferimento alle operazioni con parti correlate si
applicano specifiche disposizioni in materia di controlli interni e
responsabilita' degli organi aziendali contenute nel Titolo V,
Capitolo 5, Sezione IV.
14. Rischi connessi con l'attivita' di banca depositaria di OICR e
fondi pensione.
Le banche che assumono l'incarico di depositaria rispettano le
regole specifiche in materia di controlli interni contenute nel
Titolo V, Capitolo 6, Sezioni II e IV.
15. Rischio paese e rischio di trasferimento (Country and transfer
risks).
Le banche sono tenute a presidiare efficacemente, in linea con il
principio di proporzionalita', il rischio paese (29) e il rischio di
trasferimento (30) .
In particolare, le banche, tengono conto di tali rischi
nell'ambito del RAF, del processo per determinare il capitale
complessivo adeguato in termini attuali e prospettici (ICAAP) (31) e
del processo di gestione dei rischi.
Le banche formalizzano criteri per la determinazione di
accantonamenti adeguati a fronte delle singole esposizioni soggette
ai rischi menzionati.
Allegato B
CONTROLLI SULLE SUCCURSALI ESTERE
Le succursali estere di banche italiane presentano peculiari
esigenze di controllo. Vengono di seguito formulate alcune
indicazioni di carattere minimale cui le banche devono attenersi
nell'orientare le proprie scelte in materia di controlli interni.
In particolare, le banche devono:
- verificare la coerenza dell'attivita' di ciascuna succursale o
gruppo di succursali estere con gli obiettivi e le strategie
aziendali;
- adottare procedure informative e contabili uniformi o comunque
pienamente raccordabili con il sistema centrale, in modo da
assicurare flussi informativi adeguati e tempestivi nei confronti
degli organi aziendali;
- conferire poteri decisionali secondo criteri rapportati alle
potenzialita' delle succursali e attribuire le competenze tra le
diverse unita' operative di ciascuna succursale in modo da assicurare
la necessaria dialettica nell'esercizio dell'attivita';
- prevedere l'esercizio dei poteri di firma in forma congiunta;
qualora le caratteristiche e la rischiosita' delle operazioni lo
richiedano, deve essere previsto l'intervento di dirigenti della
succursale capo-area, ove esistente, o dell'organo con funzione di
gestione. Eventuali deroghe per operazioni di importo e rischiosita'
limitati devono essere disciplinate con apposito regolamento;
- assoggettare le succursali estere ai controlli dell'internal
audit, che devono essere effettuati da personale in possesso della
necessaria specializzazione;
- istituire presso le succursali con una operativita'
significativa, tenuto conto sia della rischiosita' della succursale
rispetto alla complessiva propensione al rischio della banca, sia
della complessita' operativa/organizzativa della succursale stessa,
un'unita' incaricata dei controlli di secondo livello e un'unita'
avente funzioni di revisione interna. Gli addetti a tali unita', di
norma gerarchicamente dipendenti dalle funzione aziendali di
controllo centrali, riferiscono, oltre che ai responsabili di tali
funzioni, attraverso specifiche relazioni direttamente al dirigente
preposto alla succursale capo-area, ove esistente, e all'organo con
funzione di gestione;
- effettuare il controllo documentale su tutti gli aspetti
dell'operativita' ed estenderlo anche al merito della gestione in
modo da condurre a una valutazione complessiva dell'andamento delle
succursali estere, sotto il profilo del reddito prodotto e dei rischi
assunti; l'esito delle verifiche va sottoposto all'organo con
funzione di gestione, che curera', almeno una volta all'anno, uno
specifico riferimento all'organo con funzione di supervisione
strategica.
L'organo con funzione di gestione deve avere cura di
intensificare, a fini di controllo sulla propria struttura
periferica, i rapporti con le parallele strutture centrali delle
principali banche corrispondenti, concordando tra l'altro idonee
procedure per la verifica delle posizioni reciproche.
Nella selezione dei dirigenti da preporre alla guida delle
filiali estere, gli organi aziendali devono tenere conto della
capacita' degli interessati di adeguarsi alla logica
dell'organizzazione aziendale e alle regole di comportamento
applicabili in generale alle banche italiane.
Vanno previste verifiche, la cui frequenza deve essere coerente
con la tipologia di rischi assunti dalla succursale estera, da parte
dell'organo con funzione di controllo, della funzione di revisione
interna e delle societa' di revisione esterne. Le verifiche in loco
condotte dalla funzione di revisione interna devono essere estese e
riguardare almeno i rischi assunti, l'affidabilita' delle strutture
operative, i sistemi informativi, il funzionamento dei controlli
interni, l'inserimento sul mercato. La periodicita' minima delle
verifiche e' graduata in relazione all'operativita' svolta e ai
mercati di insediamento. I risultati delle verifiche sono portati
tempestivamente a conoscenza degli organi aziendali.
Allegato C
IL RISK APPETITE FRAMEWORK
1. Premessa.
Le banche definiscono un quadro di riferimento per la
determinazione della propensione al rischio (Risk Appetite Framework
- «RAF»), che fissi ex ante gli obiettivi di rischio/rendimento che
l'intermediario intende raggiungere e i conseguenti limiti operativi.
La formalizzazione, attraverso la definizione del RAF, di
obiettivi di rischio coerenti con il massimo rischio assumibile, il
business model e gli indirizzi strategici e' un elemento essenziale
per la determinazione di una politica di governo dei rischi e di un
processo di gestione dei rischi improntati ai principi della sana e
prudente gestione aziendale.
Le banche, inoltre, coordinano il quadro di riferimento per la
determinazione della propensione al rischio con il processo ICAAP
(cfr. Titolo III, Capitolo 1) e ne assicurano la corretta attuazione
attraverso una organizzazione e un sistema dei controlli interni
adeguati.
2. Indicazioni sul contenuto del RAF.
Nel presente paragrafo sono fornite indicazioni minimali per la
definizione del Risk Appetite Framerwork, fermo restando che
l'effettiva articolazione del RAF va calibrata in base alle
caratteristiche dimensionali e di complessita' operativa di ciascuna
banca.
Le banche assicurano una stretta coerenza e un puntuale raccordo
tra: il modello di business, il piano strategico, il RAF (e i
parametri utilizzati per definirlo), il processo ICAAP, i budget,
l'organizzazione aziendale e il sistema dei controlli interni.
Il RAF, tenuto conto del piano strategico e dei rischi rilevanti
ivi individuati, e definito il massimo rischio assumibile, indica le
tipologie di rischio che la banca intende assumere; per ciascuna
tipologia di rischio, fissa gli obiettivi di rischio, le eventuali
soglie di tolleranza e i limiti operativi in condizioni sia di
normale operativita', sia di stress. Sono, altresi', indicate le
circostanze, inclusi gli esiti degli scenari di stress, al ricorrere
delle quali l'assunzione di determinate categorie di rischio va
evitata o contenuta rispetto agli obiettivi e ai limiti fissati.
Gli obiettivi di rischio, le soglie di tolleranza e i limiti di
rischio sono, di norma, declinati in termini di:
a) misure espressive del capitale a rischio o capitale economico
(VaR, expected shortfall, ecc);
b) adeguatezza patrimoniale;
c) liquidita'.
Con riferimento ai rischi quantificabili, la declinazione degli
elementi costituenti del RAF avviene attraverso l'utilizzo di
opportuni parametri quantitativi e qualitativi, calibrati in funzione
del principio di proporzionalita'; a tal fine, le banche possono fare
riferimento alle metodologie di misurazione dei rischi utilizzate ai
fini della valutazione aziendale dell'adeguatezza patrimoniale
(ICAAP) (cfr. Titolo III, Capitolo 1, Sezione II).
Con riferimento ai rischi difficilmente quantificabili (quali, ad
es, il rischio strategico, il rischio reputazionale o il rischio di
compliance), il RAF fornisce specifiche indicazioni di carattere
qualitativo che siano in grado di orientare la definizione e
l'aggiornamento dei processi e dei presidi del sistema dei controlli
interni.
Nel RAF sono definite le procedure e gli interventi gestionali da
attivare nel caso in cui sia necessario ricondurre il livello di
rischio entro l'obiettivo o i limiti prestabiliti. In particolare,
sono definiti gli interventi gestionali da adottare al raggiungimento
della soglia di tolleranza (ove definita). Sono precisate anche le
tempistiche e le modalita' da seguire per l'aggiornamento del RAF.
Il RAF, infine, precisa i compiti degli organi e di tutte le
funzioni aziendali coinvolte nella definizione del processo.
TITOLO V
Capitolo 8
IL SISTEMA INFORMATIVO
Sezione I
DISPOSIZIONI DI CARATTERE GENERALE
1. Premessa.
Il sistema informativo (inclusivo delle risorse tecnologiche -
hardware, software, dati, documenti elettronici, reti telematiche - e
delle risorse umane dedicate alla loro amministrazione) rappresenta
uno strumento di primaria importanza per il conseguimento degli
obiettivi strategici e operativi degli intermediari, in
considerazione della criticita' dei processi aziendali che dipendono
da esso. Infatti:
- dal punto di vista strategico, un sistema informativo sicuro ed
efficiente, basato su un'architettura flessibile, resiliente e
integrata a livello di gruppo consente di sfruttare le opportunita'
offerte dalla tecnologia per ampliare e migliorare i prodotti e i
servizi per la clientela, accrescere la qualita' dei processi di
lavoro, favorire la dematerializzazione dei valori, ridurre i costi
anche attraverso la virtualizzazione dei servizi bancari;
- nell'ottica della sana e prudente gestione, il sistema
informativo consente al management di disporre di informazioni
dettagliate, pertinenti e aggiornate per l'assunzione di decisioni
consapevoli e tempestive e per la corretta attuazione del processo di
gestione dei rischi (cfr. Capitolo 7);
- con riguardo al contenimento del rischio operativo, il regolare
svolgimento dei processi interni e dei servizi forniti alla
clientela, l'integrita', la riservatezza e la disponibilita' delle
informazioni trattate, fanno affidamento sulla funzionalita' dei
processi e dei controlli automatizzati;
- in tema di compliance, al sistema informativo e' affidato il
compito di registrare, conservare e rappresentare correttamente i
fatti di gestione e gli eventi rilevanti per le finalita' previste da
norme di legge e da regolamenti interni ed esterni.
Le previsioni contenute nel presente Capitolo rappresentano
requisiti di carattere generale per lo sviluppo e la gestione del
sistema informativo da parte degli intermediari; le concrete misure
da adottare tengono conto degli specifici obiettivi strategici e,
secondo il principio di proporzionalita', della dimensione e
complessita' operative, della natura dell'attivita' svolta, della
tipologia dei servizi prestati nonche' del livello di automazione dei
processi e servizi della banca.
A tal proposito, le banche valutano l'opportunita' di avvalersi
degli standard e best practices definiti a livello internazionale in
materia di governo, gestione, sicurezza e controllo del sistema
informativo.
2. Fonti normative.
La materia e' regolata:
- dalla direttiva del Parlamento europeo e del Consiglio
2013/36/UE del 26 giugno 2013, sull'accesso all'attivita' degli enti
creditizi e sulla vigilanza prudenziale sugli enti creditizi e sulle
imprese di investimento, che modifica la direttiva 2002/87/CE e
abroga le direttive 2006/48/CE e 2006/49/CE;
- dai seguenti articoli del TUB:
• art. 51, il quale prevede che le banche inviino alla Banca
d'Italia, con le modalita' e i tempi da essa stabiliti, le
segnalazioni periodiche nonche' ogni dato e documento richiesti;
• art. 53, comma 1, lett. d), che attribuisce alla Banca
d'Italia, in conformita' delle delibere del CICR, il potere di
emanare disposizioni di carattere generale in materia di
organizzazione amministrativa e contabile e controlli interni delle
banche;
• art. 67, comma 1, lett. d), che attribuisce alla Banca
d'Italia, in conformita' delle delibere del CICR, il potere di
impartire alla capogruppo di un gruppo bancario disposizioni
concernenti il gruppo complessivamente considerato o i suoi
componenti aventi ad oggetto l'organizzazione amministrativa e
contabile e i controlli interni;
- dalla delibera del CICR del 2 agosto 1996, come modificata
dalla delibera del 23 marzo 2004, in materia di organizzazione
amministrativa e contabile e controlli interni delle banche e dei
gruppi bancari;
- dal decreto del Ministro dell'Economia e delle finanze,
Presidente del CICR del 5 agosto 2004 in materia, tra l'altro, di
compiti e poteri degli organi sociali delle banche e dei gruppi
bancari;
- dalle Recommendations for the security of internet payments
emanate dalla BCE il 31 gennaio 2013 (32) .
Si e' anche tenuto conto del documento Principles for effective
risk data aggregation and risk reporting, pubblicato dal Comitato di
Basilea per la vigilanza bancaria nel gennaio 2013 (33) .
3. Definizioni.
Ai fini della presente disciplina si definisce:
- «accountability»: l'assegnazione della responsabilita' di
un'attivita' o processo aziendale, con il conseguente compito di
rispondere delle operazioni svolte e dei risultati conseguiti, a una
determinata figura aziendale; in ambito tecnico, si intende la
garanzia di poter attribuire ciascuna operazione a soggetti (utenti o
applicazioni) univocamente identificabili;
- «autenticazione»: la procedura di verifica dell'identita' di un
utente da parte di un sistema o servizio;
- «autorizzazione»: la procedura che verifica se un cliente o un
altro soggetto interno o esterno ha il diritto di compiere una certa
azione, ad es. di trasferire fondi o accedere a dati sensibili;
- «componente critica del sistema informativo»: il sistema o
l'applicazione per i quali un incidente di sicurezza informatica puo'
pregiudicare il regolare e sicuro svolgimento di funzioni operative
importanti (cfr. Capitolo 7, par. 3) per l'intermediario, tra cui
l'efficace espletamento dei compiti degli organi aziendali e delle
funzioni di controllo; l'analisi dei rischi definisce le funzioni
aziendali e le componenti del sistema informativo che presentano
rischi rilevanti per la banca;
- «credenziali»: le informazioni - generalmente riservate -
utilizzate da un utente a fini di autenticazione ad un sistema o
servizio. Sono inclusi nella definizione gli strumenti fisici che
forniscono o memorizzano le informazioni (ad es., generatori di
password non riutilizzabili, smart card) o qualcosa che l'utente
ricorda (ad es., password) o rappresenta (ad es., caratteristiche
biometriche);
- «incidente di sicurezza informatica»: ogni evento che implica
la violazione o l'imminente minaccia di violazione delle norme e
delle prassi aziendali in materia di sicurezza delle informazioni (ad
es., frodi informatiche, attacchi attraverso internet e
malfunzionamenti e disservizi);
- «grave incidente di sicurezza informatica»: un incidente di
sicurezza informatica da cui derivi almeno una delle seguenti
conseguenze:
a) perdite economiche elevate o prolungati disservizi per
l'intermediario, anche a seguito di ripetuti incidenti di minore
entita';
b) disservizi rilevanti sulla clientela e altri soggetti (ad es.,
intermediari o infrastrutture di pagamento); la valutazione della
gravita' considera il numero dei clienti o controparti potenzialmente
coinvolti e l'ammontare a rischio;
c) il rischio di inficiare la capacita' della banca di
conformarsi alle condizioni e agli obblighi di legge o previsti dalla
disciplina di vigilanza;
- «minimo privilegio (least privilege)»: il principio che
stabilisce che a ciascun utente o amministratore di sistema siano
assegnate le abilitazioni strettamente necessarie allo svolgimento
dei compiti assegnati;
- «no single point of failure»: il principio architetturale
secondo il quale l'eventuale guasto di un singolo componente di un
sistema non compromette il regolare funzionamento dell'intero
sistema;
- «operazioni critiche»: le operazioni relative a funzioni
operative importanti effettuate in ambiente di produzione che, se
errate o non effettuate, possono pregiudicare il regolare
funzionamento di componenti critiche del sistema informativo (con
riferimento a dati, a programmi o alla configurazione del sistema)
nonche' quelle che possono alterare, direttamente o indirettamente, i
valori aziendali;
- «procedura di contingency»: una procedura che, in caso di
indisponibilita' o grave malfunzionamento del sistema, prevede il
ricorso in condizioni di emergenza a strumenti a bassa integrazione
nei processi aziendali (ad es., ricorrendo ad attivita' manuali) al
fine di completare un insieme limitato di operazioni di particolare
criticita';
- «procedura di fallback»: una procedura attivata in occasione di
gravi problemi in caso di aggiornamento tecnologico o migrazione a
nuove piattaforme, volta a fornire modalita' alternative per lo
svolgimento delle funzioni applicative non funzionanti;
- «rischio informatico (o ICT)»: il rischio di incorrere in
perdite economiche, di reputazione e di quote di mercato in relazione
all'utilizzo di tecnologia dell'informazione e della comunicazione
(Information and Communication Technology - ICT). Nella
rappresentazione integrata dei rischi aziendali a fini prudenziali
(ICAAP), tale tipologia di rischio e' considerata, secondo gli
specifici aspetti, tra i rischi operativi, reputazionali e
strategici;
- «rischio informatico residuo»: il rischio informatico a cui
l'intermediario e' esposto una volta applicate le misure di
attenuazione individuate nel processo di analisi dei rischi;
- «risorsa informatica (o ICT)»: un bene dell'azienda afferente
all'ICT che concorre alla ricezione, archiviazione, elaborazione,
trasmissione e fruizione dell'informazione gestita
dall'intermediario;
- «segregazione dei compiti (segregation of duties)»: il
principio che stabilisce che l'esecuzione di operazioni di
particolare criticita' sia svolta attraverso la cooperazione di piu'
utenti o amministratori di sistema con responsabilita' formalmente
ripartite;
- «utente responsabile»: la figura aziendale identificata per
ciascun sistema o applicazione e che ne assume formalmente la
responsabilita', in rappresentanza degli utenti e nei rapporti con le
funzioni preposte allo sviluppo e alla gestione tecnica;
- «verificabilita'»: la garanzia di poter ricostruire,
all'occorrenza e anche a distanza di tempo, eventi connessi
all'utilizzo del sistema informativo e al trattamento di dati.
4. Destinatari della disciplina.
Le presenti disposizioni si applicano, secondo quanto stabilito
nel Titolo I, Capitolo 1, Parte Seconda:
- alle banche autorizzate in Italia, ad eccezione delle
succursali di banche extracomunitarie aventi sede nei paesi del
Gruppo dei Dieci ovvero in quelli inclusi in un apposito elenco
pubblicato e periodicamente aggiornato dalla Banca d'Italia (34) ;
- alle capogruppo di gruppi bancari;
- alle imprese di riferimento, secondo quanto previsto dalla
Sezione VI del Capitolo 7.
Sezione II
GOVERNO E ORGANIZZAZIONE DEL SISTEMA INFORMATIVO
1. Premessa.
Nell'ambito della generale disciplina dell'organizzazione e dei
controlli interni, sono attribuiti agli organi e funzioni aziendali
ruoli e responsabilita', relativi allo sviluppo e alla gestione del
sistema informativo, nel rispetto del principio della separazione
delle funzioni di controllo da quelle di supervisione e gestione.
2. Compiti dell'organo con funzione di supervisione strategica.
L'organo con funzione di supervisione strategica assume la
generale responsabilita' di indirizzo e controllo del sistema
informativo, nell'ottica di un ottimale impiego delle risorse
tecnologiche a sostegno delle strategie aziendali (ICT governance).
In tale ambito esso:
- approva le strategie di sviluppo del sistema informativo, in
considerazione dell'evoluzione del settore di riferimento e in
coerenza con l'articolazione in essere e a tendere dei settori di
operativita', dei processi e dell'organizzazione aziendale; in tale
contesto approva il modello di riferimento per l'architettura del
sistema informativo;
- approva la policy di sicurezza informatica (35) ;
- approva le linee di indirizzo in materia di selezione del
personale con funzioni tecniche e di acquisizione di sistemi,
software e servizi, incluso il ricorso a fornitori esterni (cfr.
Sezione VI);
- promuove lo sviluppo, la condivisione e l'aggiornamento di
conoscenze in materia di ICT all'interno dell'azienda;
- e' informato con cadenza almeno annuale circa l'adeguatezza dei
servizi erogati e il supporto di tali servizi all'evoluzione
dell'operativita' aziendale, in rapporto ai costi sostenuti; e'
informato tempestivamente in caso di gravi problemi per l'attivita'
aziendale derivanti da incidenti e malfunzionamenti del sistema
informativo.
Con specifico riguardo all'esercizio della responsabilita' di
supervisione della analisi del rischio informatico (cfr. Sezione
III), lo stesso organo:
- approva il quadro di riferimento organizzativo e metodologico
per l'analisi del rischio informatico, promuovendo l'opportuna
valorizzazione dell'informazione sul rischio tecnologico all'interno
della funzione ICT e l'integrazione con i sistemi di misurazione e
gestione dei rischi (in particolare quelli operativi, reputazionali e
strategici);
- approva la propensione al rischio informatico, avuto riguardo
ai servizi interni e a quelli offerti alla clientela, in conformita'
con gli obiettivi di rischio e il quadro di riferimento per la
determinazione della propensione al rischio definiti a livello
aziendale (cfr. Capitolo 7, Allegato C);
- e' informato con cadenza almeno annuale sulla situazione di
rischio informatico rispetto alla propensione al rischio.
Nell'Allegato A, sono riportati i documenti che l'organo con
funzione di supervisione strategica approva nell'ambito del suo ruolo
e responsabilita' nella materia.
3. Compiti dell'organo con funzione di gestione.
L'organo con funzione di gestione ha il compito di assicurare la
completezza, l'adeguatezza, la funzionalita' (in termini di efficacia
ed efficienza) e l'affidabilita' del sistema informativo. In
particolare, tale organo:
- definisce la struttura organizzativa della funzione ICT (ove
presente) (36) assicurandone nel tempo la rispondenza alle strategie
e ai modelli architetturali definiti dall'organo con funzione di
supervisione strategica; garantisce il corretto dimensionamento
quali-quantitativo delle risorse umane;
- definisce l'assetto organizzativo, metodologico e procedurale
per il processo di analisi del rischio informatico, perseguendo un
opportuno livello di raccordo con la funzione di risk management per
i processi di stima del rischio operativo;
- tranne che nel caso di full outsourcing, approva il disegno dei
processi di gestione del sistema informativo, garantendo l'efficacia
ed efficienza dell'impianto nonche' la complessiva completezza e
coerenza, con particolare riguardo ad una funzionale assegnazione di
compiti e responsabilita', alla robustezza dei controlli, alla
validita' del supporto metodologico e procedurale;
- approva gli standard di data governance, le procedure di
gestione dei cambiamenti e degli incidenti (ove del caso, in raccordo
con le procedure del fornitore di servizi) e, di norma con cadenza
annuale, il piano operativo delle iniziative informatiche,
verificandone la coerenza con le esigenze informative e di
automazione delle linee di business nonche' con le strategie
aziendali;
- valuta almeno annualmente le prestazioni della funzione ICT
rispetto alle strategie e agli obiettivi fissati, in termini di
rapporto costi / benefici o utilizzando sistemi integrati di
misurazione delle prestazioni (37) , assumendo gli opportuni
interventi e iniziative di miglioramento;
- approva almeno annualmente la valutazione del rischio delle
componenti critiche nonche' la relazione sull'adeguatezza e costi dei
servizi ICT, informando a tale riguardo l'organo con funzione di
supervisione strategica; in tale ambito, riscontra la complessiva
situazione del rischio informatico in rapporto alla propensione al
rischio definita, disponendo allo scopo di idonei flussi informativi
concernenti, come minimo, il livello di rischio residuo per le
diverse risorse informatiche, lo stato di implementazione dei presidi
di attenuazione del rischio (cfr. Sezione III), l'evoluzione delle
minacce connesse con l'utilizzo di ICT nonche' gli incidenti
registratisi nel periodo di riferimento;
- monitora il regolare svolgimento dei processi di gestione e di
controllo dei servizi ICT e, a fronte di anomalie rilevate, pone in
atto opportune azioni correttive;
- assume decisioni tempestive in merito a gravi incidenti di
sicurezza informatica (cfr. Sezione IV) e fornisce informazioni
all'organo con funzione di supervisione strategica in caso di gravi
problemi per l'attivita' aziendale derivanti da incidenti e
malfunzionamenti.
In relazione alla responsabilita' e ai compiti assegnati,
l'organo con funzione di gestione e' dotato di competenze
tecnico-manageriali, tenuto conto della dimensione, complessita' e
articolazione organizzativa dell'intermediario nonche' delle
strategie di sourcing.
Nell'Allegato A sono riportati le procedure, gli standard e i
piani soggetti all'approvazione dell'organo con funzione di gestione.
4. Organizzazione della funzione ICT.
L'articolazione organizzativa della funzione ICT dipende da
fattori quali la complessita' della struttura societaria, la
dimensione, i settori di attivita', le strategie di business e
gestionali. Essa si ispira a criteri di funzionalita', efficienza e
sicurezza, definendo chiaramente compiti e responsabilita' e
contemplando in particolare:
- linee di riporto dirette a livello dell'organo con funzione di
gestione (38) a garanzia dell'unitarieta' della visione gestionale e
del rischio informatico nonche' dell'uniformita' di applicazione
delle norme riguardanti il sistema informativo; eventuali unita' di
sviluppo decentrato sotto il controllo delle linee di business sono
comunque inquadrate nel piu' generale disegno architetturale e
agiscono nell'ambito di regole definite a livello aziendale;
- le responsabilita' e gli assetti connessi con la pianificazione
e il controllo del portafoglio dei progetti informatici, con il
governo dell'evoluzione dell'architettura e dell'innovazione
tecnologica nonche' con le attivita' di gestione del sistema
informativo (39) ;
- la realizzazione degli opportuni meccanismi di raccordo con le
linee di business, con particolare riguardo alle attivita' di
individuazione e pianificazione delle iniziative informatiche
(regolare rilevazione delle esigenze di servizi informatici e
promozione delle opportunita' tecnologiche offerte dall'evoluzione
del sistema informativo).
5. La sicurezza informatica.
La funzione di sicurezza informatica e' deputata allo svolgimento
dei compiti specialistici in materia di sicurezza delle risorse ICT.
In particolare:
- segue la redazione e l'aggiornamento delle policy di sicurezza
e delle istruzioni operative;
- assicura la coerenza dei presidi di sicurezza con le policy
approvate;
- partecipa alla progettazione, realizzazione e manutenzione dei
presidi di sicurezza dei data center;
- partecipa alla valutazione del rischio potenziale nonche'
all'individuazione dei presidi di sicurezza nell'ambito del processo
di analisi del rischio informatico (cfr. Sezione III);
- assicura il monitoraggio nel continuo delle minacce applicabili
alle diverse risorse informatiche (cfr. Sezione IV, par. 3);
- segue lo svolgimento dei test di sicurezza prima dell'avvio in
produzione di un sistema nuovo o modificato (cfr. Sezione IV, par.
5).
Nelle realta' piu' complesse, l'indipendenza di giudizio rispetto
alle funzioni operative e' assicurata da un'adeguata collocazione
organizzativa.
6. Il controllo del rischio informatico e la compliance ICT.
Nell'ambito del sistema dei controlli interni sono chiaramente
assegnate responsabilita' in merito allo svolgimento dei seguenti
compiti di controllo di secondo livello:
- il controllo dei rischi, basato su flussi informativi
continui in merito all'evoluzione del rischio informatico e sul
monitoraggio dell'efficacia delle misure di protezione delle risorse
ICT. La gestione del complessivo rischio informatico si raccorda con
il processo di analisi sulle singole risorse ICT (cfr. Sezione III).
Le valutazioni svolte sono documentate e riviste in rapporto ai
risultati del monitoraggio e comunque almeno una volta l'anno.
Con riferimento alle banche con un modello interno validato sul
rischio operativo, i dati sulle perdite operative in ambito ICT sono
integrati con i dati e gli scenari relativi alle altre funzioni
aziendali, e ne sono presidiati la qualita' e completezza;
- il rispetto dei regolamenti interni e delle normative esterne
in tema di ICT (ICT compliance) garantendo, tra l'altro:
• l'assistenza su aspetti tecnici in caso di questioni legali
relative al trattamento dei dati personali;
• la coerenza degli assetti organizzativi alle normative esterne,
per le parti relative al sistema informativo;
• l'analisi di conformita' dei contratti di outsourcing e con
fornitori (inclusi i contratti infra-gruppo).
7. Compiti della funzione di revisione interna.
L'internal audit dispone - al suo interno o mediante il ricorso a
risorse esterne (40) - delle competenze specialistiche necessarie per
assolvere ai propri compiti di assurance attinenti al sistema
informativo aziendale (ICT audit).
La pianificazione degli interventi ispettivi assicura nel tempo
un'adeguata copertura delle varie applicazioni, infrastrutture e
processi di gestione, incluse le eventuali componenti esternalizzate
(41) . A prescindere dalla forma adottata per gli accertamenti (ad
es., audit mirati ovvero verifiche sulle applicazioni e componenti
del sistema informativo nell'ambito di ispezioni su strutture
organizzative o processi produttivi), l'internal audit e' in grado di
fornire valutazioni sui principali rischi tecnologici identificabili
e sulla complessiva gestione del rischio informatico
dell'intermediario.
Sezione III
L'ANALISI DEL RISCHIO INFORMATICO
L'analisi del rischio informatico costituisce uno strumento a
garanzia dell'efficacia ed efficienza delle misure di protezione
delle risorse ICT, permettendo di graduare le misure di mitigazione
nei vari ambienti in funzione del profilo di rischio
dell'intermediario.
Il processo di analisi e' svolto con il concorso dell'utente
responsabile (42) , del personale della funzione ICT, delle funzioni
di controllo dei rischi, di sicurezza informatica e, ove opportuno,
dell'audit, secondo metodologie e responsabilita' formalmente
definite dall'organo con funzione di gestione. Esso si compone delle
seguenti fasi:
- la valutazione del rischio potenziale cui sono esposte le
risorse informatiche esaminate; tale attivita' interessa tutte le
iniziative di sviluppo di nuovi progetti e di modifica rilevante del
sistema informativo (43) .
Tale fase prende l'avvio con la classificazione delle risorse ICT
(44) in termini di rischio informatico (45) ;
- il trattamento del rischio, volto a individuare, se
necessario, misure di attenuazione - di tipo tecnico o organizzativo
- idonee a contenere il rischio potenziale.
L'analisi determina il rischio residuo da sottoporre ad
accettazione formale dell'utente responsabile (46) . Qualora il
rischio residuo ecceda la propensione al rischio informatico,
approvato dall'organo con funzione di supervisione strategica (cfr.
Sezione II, par. 2), l'analisi propone l'adozione di misure
alternative o ulteriori di trattamento del rischio (47) , definite
con il coinvolgimento della funzione di controllo dei rischi e
sottoposte all'approvazione dell'organo con funzione di gestione.
Per le procedure in esercizio, per le quali non e' stata svolta
un'analisi del rischio in fase di sviluppo, e' comunque prevista una
valutazione integrativa, al fine di individuare eventuali presidi in
aggiunta a quelli gia' in essere, da attuare secondo uno specifico
piano di implementazione. I tempi di attuazione del piano e i presidi
compensativi di tipo organizzativo o procedurale nelle more
dell'attuazione, sono documentati e sottoposti all'accettazione
formale dell'utente responsabile.
I risultati del processo (livelli di classificazione, rischi
potenziali e residui, lista delle minacce considerate, elenco dei
presidi individuati), ogni loro aggiornamento successivo, le
assunzioni operate e le decisioni assunte, sono documentati e portati
a conoscenza dell'organo con funzione di gestione.
Il processo di analisi del rischio e' ripetuto con periodicita'
adeguata alla tipologia delle risorse ICT e dei rischi e, comunque,
in presenza di situazioni che possono influenzare il complessivo
livello di rischio informatico (48) .
Sezione IV
LA GESTIONE DELLA SICUREZZA INFORMATICA
1. Premessa.
La gestione della sicurezza informatica comprende i processi e le
misure volti, in raccordo con la generale azione aziendale per
preservare la sicurezza delle informazioni e dei beni aziendali, a
garantire a ciascuna risorsa informatica una protezione, in termini
di riservatezza, integrita', disponibilita', verificabilita' e
accountability, appropriata e coerente lungo l'intero ciclo di vita.
Obiettivo di tale processo e' anche di contribuire alla
conformita' del sistema informativo alle norme di legge e a
regolamenti interni ed esterni.
La struttura dei processi e l'intensita' dei presidi da porre in
atto dipende dalle risultanze del processo di analisi dei rischi
(cfr. Sezione III).
2. Policy di sicurezza.
La policy di sicurezza informatica e' approvata dall'organo con
funzione di supervisione strategica e comunicata a tutto il personale
e alle terze parti coinvolte nella gestione di informazioni e
componenti del sistema informativo. Essa riporta:
- gli obiettivi del processo di gestione della sicurezza
informatica in linea con la propensione al rischio informatico
definito a livello aziendale (cfr. Sezione II, par. 2); tali
obiettivi sono espressi in termini di esigenze di protezione e di
controllo del rischio tecnologico;
- i principi generali di sicurezza sull'utilizzo e la gestione
del sistema informativo da parte dei diversi profili aziendali;
- i ruoli e le responsabilita' connessi alla funzione di
sicurezza informatica nonche' all'aggiornamento e verifica delle
policy;
- il quadro di riferimento organizzativo e metodologico dei
processi di gestione dell'ICT deputati a garantire l'appropriato
livello di protezione;
- le linee di indirizzo per le attivita' di comunicazione,
formazione e sensibilizzazione delle diverse classi di utenti;
- un richiamo alle norme interne che disciplinano le conseguenze
di violazioni rilevate della policy da parte del personale;
- un richiamo alle norme di legge e alle altre normative esterne
applicabili inerenti alla sicurezza di informazioni e risorse ICT,
incluse le norme riportate nella presente Sezione.
La policy di sicurezza puo' fare riferimento a documenti di
maggiore dettaglio, ad es. linee guida o manuali operativi in tema di
configurazioni e procedure di sicurezza per particolari componenti e
applicazioni; policy dedicata per i servizi di pagamento via
internet; norme per il corretto utilizzo di applicazioni aziendali
trasversali, quali la posta elettronica e la navigazione internet.
La regolare revisione della policy di sicurezza tiene conto
dell'evoluzione del campo di attivita', dei prodotti forniti, delle
tecnologie e dei rischi fronteggiati dall'intermediario (cfr. Sezione
III).
3. La sicurezza delle informazioni e delle risorse ICT.
La sicurezza delle informazioni e delle risorse informatiche e'
garantita attraverso misure di protezione a livello fisico e logico,
la cui intensita' di applicazione e' graduata in relazione alle
risultanze della valutazione del rischio (classificazione delle
risorse informatiche in termini di sicurezza). Tali misure sono
distribuite su diversi strati, cosi' che un'eventuale falla in una
linea di difesa sia coperta dalla successiva («difesa in
profondita'»), comprendendo:
- i presidi fisici di difesa e le procedure di autorizzazione e
controllo per l'accesso fisico a sistemi e dati (ad es., barriere
perimetrali con punti di ingresso vigilati, locali ad accesso
controllato con registrazione degli ingressi e delle uscite);
- la regolamentazione dell'accesso logico a reti, sistemi, basi
di dati sulla base delle effettive esigenze operative (principio del
need to know); i diritti di accesso sono accordati, mediante ricorso
ad opportuni profili abilitativi, previa formale autorizzazione;
l'elenco degli utenti abilitati e' sottoposto a verifica con
periodicita' definita;
- la procedura di autenticazione per l'accesso alle applicazioni
e ai sistemi; in particolare sono garantiti l'univoca associazione a
ciascun utente delle proprie credenziali di accesso, il presidio
della riservatezza dei fattori di autenticazione (49) , l'osservanza
degli standard definiti all'interno nonche' delle normative
applicabili, ad es. in materia di composizione e gestione della
password, di limiti ai tentativi di accesso, di lunghezza di chiavi
crittografiche;
- la segmentazione della rete di telecomunicazione, con controllo
dei flussi scambiati, in particolare tra domini connotati da diversi
livelli di sicurezza (ad es., sistemi e utenti interni, applicazioni
core, sistemi e utenti esterni); l'accesso a sistemi e servizi
critici tramite canali pubblici (ad es., nel caso dell'e-banking
tramite internet) sono presidiati in modo da soddisfare rigorosi
requisiti di sicurezza e fornire un livello di protezione conforme ai
rischi da fronteggiare (50) ;
- l'adozione di metodologie e tecniche per lo sviluppo sicuro del
software quale possibile presidio di difesa per componenti valutate
nell'analisi del rischio informatico a un livello di rischio
potenziale elevato;
- la separazione degli ambienti di sviluppo, collaudo e
produzione, con adeguata formalizzazione del passaggio di moduli
software tra di essi (par. 5), al fine di evitare - di norma -
l'accesso a dati riservati e componenti critiche da parte del
personale addetto allo sviluppo (51) ; l'ambiente di produzione e'
sottoposto a misure piu' restrittive di controllo degli accessi e
delle modifiche;
- i criteri per la selezione e la gestione del personale adibito
al trattamento dei dati e allo svolgimento di operazioni critiche
(amministratori di sistema e utenti privilegiati) con particolare
riguardo alla valutazione delle competenze e dell'affidabilita' del
personale, alla stipula di specifici impegni di riservatezza nonche'
alla gestione nel continuo delle mansioni assegnate (ad es., per
mezzo di verifiche periodiche degli elenchi del personale abilitato e
di misure di job rotation);
- le procedure per lo svolgimento delle operazioni critiche,
garantendo il rispetto dei principi del minimo privilegio e della
segregazione dei compiti (ad es., specifiche procedure di
abilitazione e di autenticazione, controlli di tipo four eyes (52) ,
o di verifica giornaliera ex post);
- il monitoraggio, anche attraverso l'analisi di log e tracce di
audit, di accessi, operazioni e altri eventi al fine di prevenire e
gestire gli incidenti di sicurezza informatica; le attivita' degli
amministratori di sistema e altri utenti privilegiati delle
componenti critiche sono sottoposte a stretto controllo;
- il monitoraggio continuativo delle minacce e delle
vulnerabilita' di sicurezza;
- le regole di tracciabilita' delle azioni svolte, finalizzate a
consentire la verifica a posteriori delle operazioni critiche, con
l'archiviazione dell'autore, data e ora (53) , contesto operativo e
altre caratteristiche salienti della transazione. Le tracce
elettroniche sono conservate per un periodo non inferiore a 24 mesi
in archivi non modificabili o le cui modifiche sono puntualmente
registrate.
4. La sicurezza delle applicazioni sviluppate dalle unita' operative
e di controllo.
Lo sviluppo di applicazioni direttamente in carico alle unita'
operative e di controllo e' sottoposto a misure di natura
organizzativa e metodologica, tese a garantire un livello di
sicurezza comparabile con le applicazioni sviluppate dalla funzione
ICT.
Un periodico monitoraggio censisce le applicazioni sviluppate con
strumenti di informatica d'utente e ne verifica la rispondenza alla
policy di sicurezza, in particolare se utilizzate in attivita'
rilevanti quali la predisposizione dei dati di bilancio, del risk
management, della finanza e del reporting direzionale, al fine di
contenere il rischio operativo (54) .
5. La gestione dei cambiamenti.
La procedura di gestione dei cambiamenti delle applicazioni e
risorse ICT e' formalmente definita e garantisce il controllo su
modifiche, sostituzioni o adeguamenti tecnologici, in particolare
nell'ambiente di produzione. Il processo si svolge sotto la
responsabilita' di una figura o struttura aziendale con elevato grado
di indipendenza rispetto alla funzione di sviluppo e prevede, in modo
proporzionato alla complessita' e al profilo di rischio tecnologico
dell'intermediario:
- la predisposizione e il costante aggiornamento nel tempo di un
inventario o mappa del patrimonio ICT (hardware, software, dati,
procedure) (55) ;
- la valutazione dell'impatto dei cambiamenti sul sistema e dei
rischi correlati con le proposte di modifica;
- l'autorizzazione formale di ogni cambiamento in ambiente di
produzione (56) ; tale procedura comprende l'accettazione, nei casi
critici individuati nell'analisi dei rischi, nel nuovo rischio
residuo;
- la pianificazione, il coordinamento e la documentazione degli
interventi di modifica, prevedendo attivita' di collaudo e test di
sicurezza, in un ambiente deputato e distinto da quello di
produzione;
- il ricorso a un idoneo sistema di gestione della configurazione
di sistema (hardware, software, procedure di gestione e utilizzo,
modalita' di interconnessione), per il controllo dell'implementazione
dei cambiamenti, inclusa la possibilita' di ripristino della
situazione ex ante.
Le modifiche in caso di emergenza possono essere gestite con
presidi non pienamente conformi alle policy ordinarie ma comunque
adeguati alla particolare situazione. Tali modifiche sono comunque
sottoposte a tracciamento e notificate ex post all'utente
responsabile.
Le iniziative di ampio impatto sul sistema informativo (ad es.,
modifiche rilevanti sulle componenti critiche, adeguamenti in
conseguenza di fusioni o scissioni, migrazione ad altre piattaforme
informatiche) - che si inseriscono di norma in piani strategici
all'attenzione dell'organo con funzione di supervisione strategica -
sono preventivamente comunicate alla Banca d'Italia e prevedono, in
aggiunta a quanto sopra specificato, idonee misure, tecniche,
organizzative e procedurali, volte a garantire un avvio in esercizio
controllato e con limitati impatti sui servizi forniti alla clientela
(ad es., implementazione per stadi successivi, periodi di esercizio
in parallelo con la precedente procedura, procedure di fallback e
contingency). Flussi informativi verso i vari livelli manageriali e
gli organi aziendali consentono il monitoraggio dell'avanzamento del
progetto.