Banca d Italia aggiorna le disposizioni di vigilanza prudenziale per le banche

Transcript

1 Settembre 2013 Capital Markets Alert Banca d Italia aggiorna le disposizioni di vigilanza prudenziale per le banche Il 3 luglio 2013 Banca d Italia ha aggiornato le nuove disposizioni di vigilanza per le banche Circolare n. 263 del 27 dicembre 2006 ( Nuove Disposizioni di Vigilanza ) in particolare, inserendo nel Titolo V, il Capitolo 7 Il sistema dei controlli interni, il Capitolo 8 Il sistema informativo ed il Capitolo 9 La continuità operativa. Le Nuove Disposizioni di Vigilanza, così come integrate con i nuovi Capitoli, sono entrate in vigore il 3 luglio 2013; ma, in considerazione della significatività dell intervento normativo, la loro efficacia è articolata nel tempo. Le disposizioni in materia di controlli interni e di continuità operativa avranno efficacia con alcune eccezioni a partire dal 1 luglio 2014; le disposizioni del Capitolo 8 avranno efficacia a partire dal 1 febbraio 2015 mentre i contratti di outsourcing esistenti dovranno essere adeguati alle Nuove Disposizioni di Vigilanza entro il 1 luglio Alle banche è inoltre richiesto di effettuare entro il 31 dicembre 2013 un autovalutazione della situazione aziendale rispetto alle previsioni della nuova normativa (gap analysis) e di individuare le misure da adottare per assicurarne il rispetto. Contents 1 Ruolo e compiti degli organi di supervisione strategica, di gestione e di controllo Revisione della struttura delle funzioni di controllo Attribuzioni specifiche di controllo Esternalizzazione delle funzioni aziendali Obblighi per le succursali di banche comunitarie e banche extracomunitarie.. 5 L intervento di Banca d Italia appare particolarmente interessante per quel che riguarda il sistema dei controlli interni (le cui novità saranno oggetto del presente Alert). Banca d Italia si è posta come obiettivo di razionalizzare le previsioni in materia, anticipando in taluni casi il recepimento della direttiva comunitaria CRD IV, creando una normativa organica per le banche che sia anche in linea con le raccomandazioni delle principali autorità europee (Financial Stability Board, Comitato di Basilea per la vigilanza bancaria, EBA). Le Nuove Disposizioni di Vigilanza richiedono alle banche di dotarsi di un sistema dei controlli interni che sia completo, adeguato, funzionale (sia in termini di efficienza che di efficacia) ed affidabile in quanto proprio su tali parametri si baserà la verifica che sarà effettuata da Banca d Italia. Con riferimento ai controlli interni, di seguito troverete una breve analisi delle principali novità rispetto al previgente quadro normativo. Capital Markets Alert Settembre

2 1 Ruolo e compiti degli organi di supervisione strategica, di gestione e di controllo Centrale appare il ruolo degli organi aziendali (in particolare di supervisione strategica e di gestione) sui quali ricade la responsabilità primaria della definizione di un sistema dei controlli interni che risponda ai requisiti previsti dalle Nuove Disposizioni di Vigilanza e disegni il quadro di riferimento per la determinazione della propensione al rischio della banca (Risk Appetite Framework RAF ). Il RAF diventa così elemento centrale e di riferimento delle Nuove Disposizioni di Vigilanza in quanto in esso si riassume il quadro di riferimento che definisce in coerenza con il massimo rischio assumibile, il business model e il piano strategico deliberati dalla banca la propensione al rischio della banca, le soglie di tolleranza, i limiti di rischio, i processi necessari per definirli e attuarli. L organo con funzione di supervisione strategica ha la responsabilità finale di approvazione dell intero sistema e le modalità di funzionamento del sistema dei controlli interni. Dovrà, tra l altro, definire ed approvare il modello di business della banca, gli indirizzi strategici, gli obiettivi di rischio e la soglia di tolleranza (ove identificata) e le politiche di governo dei rischi nonché, elemento di assoluta novità, i criteri per individuare le operazioni di maggiore rilievo che andranno sottoposte al vaglio preventivo della funzione di controllo dei rischi. Sempre con riferimento alla determinazione della propensione al rischio (RAF), l organo avrà il compito, tra l altro, di assicurare che l attuazione del RAF sia coerente con gli obiettivi di rischio e la soglia di tolleranza approvati e che il piano strategico della banca, il RAF, l ICAAP, i budget e il sistema dei controlli interni siano coerenti tra di loro, come coerenti con la propensione al rischio, le politiche di governo dei rischi e il processo di gestione dei rischi dovranno essere la quantità e l allocazione del capitale e della liquidità detenuti dalla banca. All organo di supervisione strategica viene inoltre attribuito un compito di coordinamento e razionalizzazione delle varie funzioni di controllo. E infatti richiesto a tale organo di approvare un documento nel quale vengano precisati i compiti e le responsabilità delle varie funzioni ed organi di controllo nonché i flussi informativi tra le diverse funzioni ed organi e tra queste e gli organi aziendali in modo da evitare lacune o sovrapposizioni e allo stesso tempo assicurare il loro coordinamento e collaborazione reciproca. L organo con funzione di gestione dovrà avere un approfondita comprensione di tutti i rischi aziendali, attuando gli indirizzi strategici, il RAF e le politiche di governo dei rischi definiti dall organo con funzione di supervisione strategica. Tale organo è incaricato, inoltre, tra l altro, di stabilire limiti operativi all assunzione delle varie tipologie di rischio, coerenti con la propensione al rischio, tenendo esplicitamente conto dei risultati delle prove di stress e dell evoluzione del quadro economico in cui la banca opera. Tra i Capital Markets Alert Settembre

3 compiti previsti a carico dell organo di controllo, il Capitolo 7 prevede, inoltre, la definizione e l attuazione del processo (responsabili, procedure, condizioni) per approvare gli investimenti da parte della banca in nuovi prodotti, la distribuzione di nuovi prodotti o servizi ovvero l avvio di nuove attività o l ingresso in nuovi mercati nonché, sempre nell ambito del RAF, l autorizzazione al superamento della propensione al rischio entro il limite rappresentato dalla soglia di tolleranza e la pronta informativa all organo con funzione di supervisione strategica. L organo con funzione di controllo avrà anche la responsabilità di vigilare su completezza, adeguatezza, funzionalità e affidabilità non solo del sistema dei controlli interni ma anche del RAF. Nel Capitolo 7, la Banca d Italia prendendo atto della difficoltà di coordinamento tra la molteplicità degli organi di controllo previsti da diverse normative di settore stabilisce che, di norma, le funzioni dell Organo di Vigilanza di cui alla legge 231/2001 in materia di responsabilità amministrativa degli enti dovranno essere, come già previsto dal Codice di Autodisciplina, di norma svolte dall organo con funzione di controllo a meno che la banca non sia in grado di motivare una scelta diversa. Le Nuove Disposizioni di Vigilanza attribuiscono inoltre chiaramente all organo con funzione di controllo il compito di coordinare le varie funzioni aventi, all interno della banca, compiti e responsabilità di controllo nonché verificarne il corretto funzionamento. 2 Revisione della struttura delle funzioni di controllo Le Nuove Disposizioni di Vigilanza aggiornano la disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management), al fine di rafforzare l indipendenza, l autorità e la posizione dei responsabili delle singole funzioni, innanzitutto prevedendo che nomina e revoca vengano effettuate dall organo con funzione di supervisione strategica tra persone che possiedano requisiti di professionalità adeguati, previo parere dell organo con funzioni di controllo. Inoltre, viene previsto che i responsabili della funzione di controllo dei rischi e di compliance siano collocati alle dirette dipendenze dell organo con funzione di gestione o dell organo con funzione di supervisione strategica e che riferiscano direttamente a tali organi senza restrizioni o intermediazioni. Su tale ultimo punto, la Banca d Italia nel Resoconto alla Consultazione afferma chiaramente che non è possibile per le banche prevedere l introduzione di figure di coordinamento delle funzioni di controllo di secondo livello in quanto ciò porterebbe, nella sostanza, alla creazione di un ulteriore livello tra tali funzioni e l organo con funzioni di gestione cui queste riportano gerarchicamente, con il rischio che la dialettica diretta tra tale organo e le funzioni di controllo venga filtrata dal soggetto intermedio. Capital Markets Alert Settembre

4 3 Attribuzioni specifiche di controllo Le Nuove Disposizioni di Vigilanza comporteranno una probabile revisione dell organigramma di talune banche ed, inoltre, una ridefinizione dei compiti delle funzioni di controllo. Sono stati infatti ridisegnati, ampliandoli, i compiti e le responsabilità di ciascuna delle tre funzioni, con una particolare enfasi sulle funzioni del responsabile della funzione di risk management (chief risk officer) ed è stato previsto un potenziamento per tutti i livelli di controllo, prevedendo anche la predisposizione di un programma annuale di attività che individui e valuti i principali rischi a cui la banca è esposta e vengono programmati i relativi interventi di gestione. Viene anche chiarito che la funzione di compliance assicura il presidio del rischio di non conformità con riferimento a tutte le norme applicabili alla banca, verificando che le procedure interne della banca siano adeguate a prevenire tale rischio. La funzione di controllo dei rischi viene coinvolta della definizione del RAF, e quella di revisione interna nella valutazione dell efficacia del processo di definizione del RAF. 4 Esternalizzazione delle funzioni aziendali Le Nuove Disposizioni di Vigilanza contengono delle grosse novità in materia di esternalizzazione (outsourcing). Sino all introduzione di queste disposizioni i principi che venivano richiamati in materia di esternalizzazione in ambito bancario erano le disposizioni del CEBS del dicembre Con il presente intervento, la Banca d Italia organizza in modo sistematico le disposizioni in materia di esternalizzazione creando due regimi diversi e separati a seconda che l esternalizzazione delle funzioni di controllo avvenga nei confronti di una società del gruppo ovvero di un soggetto terzo estraneo allo stesso. Alcuni obblighi sono comuni sia per outsourcing all interno che all esterno del gruppo. In entrambi i casi, infatti, prima di procedere all esternalizzazione deve essere definita la politica aziendale in materia ed è previsto che la stessa debba contenere almeno il processo decisionale per esternalizzare le funzioni, il contenuto minimo dei contratti di outsourcing ed i livelli di servizio attesi nonché le modalità di controllo delle attività date in outsourcing nel continuo e con il coinvolgimento della funzione di revisione interna. Sono ribaditi i tradizionali limiti alla esternalizzazione (ad esempio, impossibilità per le banche di delegare attività che rientrano tra i compiti degli organi aziendali o che riguardano aspetti nevralgici del processo di erogazione del credito) e sono chiariti in modo definitivo alcuni punti già previsti dai principi generali in tale materia. In 1 Committee of European Banking Supervisors, Guidelines on outsourcing, 14 December Capital Markets Alert Settembre

5 particolare, la nuova disciplina in materia di esternalizzazione prevede che la società trattenga le competenze necessarie per controllare le funzioni esternalizzate (con conseguente aggravio di costi e di gestione operativa, soprattutto per le banche piccole), per gestire i relativi rischi e reinternalizzare le funzioni esternalizzate in caso di necessità. In particolare, è richiesto che all interno della banca venga identificato un soggetto responsabile (o più soggetti in caso di banche più complesse) del controllo delle funzioni esternalizzate che sia dotato di adeguati requisiti di professionalità ( referente per le attività esternalizzate ). Altro elemento di forte novità in questa materia è la limitazione alla tipologia (i) di banche che possono esternalizzare al di fuori del gruppo funzioni di controllo e (ii) di soggetti che possono operare come providers in tale scenario. La possibilità di esternalizzare funzioni di controllo è infatti prevista solo per banche classificate, a fini del processo di revisione e valutazione prudenziale (SREP), nella macro categoria 4 2 e solo nel caso in cui tali banche esternalizzino tale funzione ad altre banche, società di revisione o ad organismi associativi di categoria. Su tale punto la consultazione ha ribadito come il divieto di esternalizzare funzioni di controllo a soggetti che non rientrino tra quelli espressamente previsti è giustificato in ragione della delicatezza delle funzioni che vengono esternalizzate. Per la stessa ragione è inoltre previsto che, il fornitore di servizi cui è esternalizzata la funzione aziendale di controllo: (i) deve essere indipendente dalla banca che le da l incarico; (ii) non può cumulare incarichi relativi a funzioni di controllo di secondo e terzo livello per la stessa banca o gruppo bancario; (iii) non svolge contemporaneamente per la stessa banca o gruppo bancario funzioni aziendali di controllo ed attività che dovrebbe controllare in qualità di fornitore di servizi; e (iv) non svolge la funzione di revisione dei conti per la banca per la quale agirebbe come provider della funzione aziendale di controllo o per il suo gruppo bancario. La banca dovrà preventivamente informare Banca d Italia (con un termine che è stato allungato nell ambito della consultazione da 30 a 60 giorni) della propria volontà di procedere al conferimento dell incarico di outsourcing. 5 Obblighi per le succursali di banche comunitarie e banche extracomunitarie 2 Con riferimento alla applicabilità degli obblighi relativi al sistema dei controlli interni per le succursali di banche comunitarie e le succursali In base alle previsioni della Circolare 269 del 7 maggio 2008, rientrano in tale categoria gli intermediari minori e cioè soggetti per i quali è presente almeno una delle seguenti condizioni: (i) totale attivo pari o inferiore a 3,5 miliardi di euro (banche, essenzialmente BCC, e intermediari 107); (ii) patrimonio gestito pari o inferiore a 10 miliardi di euro (intermediari prevalentemente attivi nella gestione del risparmio); (iii) controvalore annuo di negoziazioni - in conto proprio o in conto terzi pari o inferiore a 150 miliardi di euro (intermediari prevalentemente attivi nella negoziazione per conto proprio ovvero nell intermediazione per conto terzi). Capital Markets Alert Settembre

6 di banche extracomunitarie aventi sede nei paesi del G10 o in quelli nell elenco pubblicato ed aggiornato annualmente da Banca d Italia, Banca d Italia ha chiarito che alle stesse si applica solo quanto previsto nella Sezione VIII del Capitolo 7. Nella Sezione VIII è stato, in particolare, introdotto un nuovo obbligo a carico del legale rappresentante della succursale che prevede il rilascio di una attestazione annuale che confermi che è stata condotta una verifica di conformità della condotta aziendale alla normativa italiana applicabile alla succursale anche di matrice non bancaria o finanziaria. E inoltre previsto che l attestazione, almeno sinteticamente, descriva l attività svolta dalla succursale e le soluzioni organizzative dalla stessa adottate. Inoltre, la Sezione VIII, introduce l obbligo soltanto per le succursali di banche extracomunitarie aventi sede nei paesi del G10 o in quelli nell elenco pubblicato ed aggiornato annualmente da Banca d Italia - per il legale rappresentante della succursale di attestare altresì che la completezza, l adeguatezza, la funzionalità, l affidabilità dei controlli interni sono stati verificati attraverso un processo di revisione interna. Contatti Per maggiori informazioni: Valentina Zadra Capital Markets Counsel valentina.zadra@linklaters.com Maria Vittoria Mirone K&L Manager mariavittoria.mirone@linklaters.com A tutte le succursali di banche extracomunitarie non aventi sede nei paesi del G10 o in quelli nell elenco pubblicato ed aggiornato annualmente da Banca d Italia si applicheranno invece tutte le disposizioni contenute nel Capitolo 7 delle Nuove Disposizioni di vigilanza in quanto equiparate a soggetti italiani. Authors: Valentina Zadra/Maria Vittoria Mirone This publication is intended merely to highlight issues and not to be comprehensive, nor to provide legal advice. Should you have any questions on issues reported here or on other areas of law, please contact one of your regular contacts, or contact the editors. Linklaters LLP. All Rights reserved 2013 Linklaters LLP is a limited liability partnership registered in England and Wales with registered number OC It is a law firm authorised and regulated by the Solicitors Regulation Authority. The term partner in relation to Linklaters LLP is used to refer to a member of the LLP or an employee or consultant of Linklaters LLP or any of its affiliated firms or entities with equivalent standing and qualifications. A list of the names of the members of Linklaters LLP and of the non-members who are designated as partners and their professional qualifications is open to inspection at its registered office, One Silk Street, London EC2Y 8HQ, England or on and such persons are either solicitors, registered foreign lawyers or European lawyers. Please refer to for important information on our regulatory position. We currently hold your contact details, which we use to send you newsletters such as this and for other marketing and business communications. We use your contact details for our own internal purposes only. This information is available to our offices worldwide and to those of our associated firms. If any of your details are incorrect or have recently changed, or if you no longer wish to receive this newsletter or other marketing communications, please let us know by ing us at marketing.database@linklaters.com. Via Broletto, Milano Telefono (+39) Facsimile (+39) Linklaters.com Capital Markets Alert Settembre