Nuove disposizioni di vigilanza prudenziale per le banche: principali novità

Transcript

1 FLASH REPORT Nuove disposizioni di vigilanza prudenziale per le banche: principali novità Luglio 2013 Il 2 luglio 2013 la Banca d Italia, all esito dell attività di consultazione avviata nel mese di settembre 2012, ha emesso l aggiornamento n. 15 della Circolare n. 263 del 27 dicembre Nuove disposizioni di vigilanza prudenziale per le banche 1, che inserisce nel Titolo V nuovi capitoli relativi a: a. sistema dei controlli interni (Capitolo 7); b. sistema informativo (Capitolo 8); c. continuità operativa (Capitolo 9). La nuova disciplina costituisce un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali organismi internazionali, ispirandosi ad alcuni principi di fondo: il coinvolgimento degli organi aziendali; l esigenza di assicurare una visione integrata dei rischi; l attenzione all efficienza e all efficacia dei controlli; la valorizzazione del principio di proporzionalità. Entro il 31 dicembre 2013 le banche sono tenute ad inviare alla Banca d Italia una relazione che riporti un auto-valutazione della propria situazione aziendale rispetto alle previsioni della nuova disciplina (gap analysis) e indichi le misure da adottare, con relativa scansione temporale, per assicurare il rispetto delle nuove disposizioni. Tempistiche Le nuove disposizioni sono entrate in vigore il 3 luglio 2013 e saranno efficaci a partire dal 1 luglio 2014, come di seguito sintetizzato: Nuove disposizioni Capitolo 7 Il sistema dei controlli interni Fatto salvo: Funzioni aziendali - linee di riporto dei responsabili di secondo livello (Compliance e Risk Management) Esternalizzazione - adeguamento dei contratti di esternalizzazione delle funzioni aziendali in essere al 3 luglio 2013 Capitolo 8 Il sistema informativo Fatto salvo: Esternalizzazione - adeguamento dei contratti di esternalizzazione del sistema informativo in essere al 3 luglio 2013 Data di efficacia 1 luglio luglio 2015 Prima scadenza contrattuale, e comunque entro il 1 luglio febbraio 2015 Prima scadenza contrattuale, e comunque entro il 1 luglio 2016 Capitolo 9 La continuità operativa 1 luglio Il testo integrale delle nuove disposizioni è disponibile al seguente link: Protiviti Srl. Protiviti non è registrata come società di revisione e non fornisce opinioni su bilanci e servizi di attestazione.

2 Principali novità Le principali novità introdotte con la nuova disciplina sono così riepilogabili: a. Sistema dei controlli interni Il sistema dei controlli interni riveste un ruolo centrale nell organizzazione aziendale: rappresenta un elemento fondamentale di conoscenza per gli organi aziendali [ ] il sistema dei controlli interni ha rilievo strategico; la cultura del controllo deve avere una posizione di rilievo nella scala dei valori aziendali: non riguarda solo le funzioni aziendali di controllo, ma coinvolge tutta l organizzazione aziendale (organi aziendali, strutture, livelli gerarchici, personale), nello sviluppo e nell applicazione di metodi, logici e sistematici, per identificare, misurare, comunicare, gestire i rischi. Al fine di dotare le banche di un sistema dei controlli interni completo, adeguato, funzionale e affidabile, vengono definiti: 1. ruoli degli organi aziendali, 2. caratteristiche e compiti delle funzioni aziendali di controllo, 3. indicazioni per la definizione del Risk Appetite Framework (RAF), 4. modalità di esternalizzazione delle funzioni aziendali di controllo, 5. obblighi in capo alle succursali di banche comunitarie ed extracomunitarie con sede nei paesi del Gruppo dei Dieci o in quelli inclusi nell elenco pubblicato e periodicamente aggiornato da Banca d Italia. 1. Ruoli degli organi aziendali Le nuove disposizioni enfatizzano e ampliano i ruoli e le responsabilità degli organi aziendali nell ambito del sistema dei controlli interni. In particolare: - all Organo con Funzione di Supervisione Strategica (OFSS) spetta la definizione e l approvazione del modello di business, degli indirizzi strategici, degli obiettivi di rischio (Risk Appetite Framework, RAF), della soglia di tolleranza (ove identificata ) e delle politiche di governo dei rischi. L OFSS assicura la coerenza dell attuazione del RAF con gli obiettivi di rischio e la soglia di tolleranza, valutando periodicamente l adeguatezza e l efficacia del RAF, la coerenza complessiva del RAF con il piano strategico, l Internal Capital Adequacy Assessment Prosess (ICAAP), i budget e il sistema dei controlli, nonché la compatibilità tra il rischio effettivo e gli obiettivi di rischio. All OFSS è inoltre richiesto di approvare, almeno annualmente, il programma di attività, compreso il piano di audit predisposto dalla funzione di revisione interna, il piano di audit pluriennale, nonché un documento nel quale sono definiti compiti e responsabilità dei vari organi e funzioni di controllo, i flussi informativi tra le diverse funzioni/organi e tra questi e gli organi aziendali, oltre alle modalità di coordinamento e collaborazione; - all Organo con Funzione di Gestione (OFG) compete l attuazione degli indirizzi strategici, del RAF e delle politiche di governo dei rischi definiti dall Organo con funzione di supervisione strategica, avendo un approfondita comprensione di tutti i rischi aziendali, inclusi i possibili rischi di malfunzionamento dei sistemi interni di misurazione (c.d. rischio di modello ) e, nell ambito di una gestione integrata, delle loro interrelazioni reciproche e con l evoluzione del contesto esterno; - all Organo con Funzione di Controllo (OFC) spetta invece il compito di vigilare sulla completezza, adeguatezza, funzionalità e affidabilità del sistema dei controlli interni e del RAF. Inoltre, all OFC sono attribuite, di norma, le funzioni dell Organismo di Vigilanza ai sensi del D.Lgs. 231/2001. Tuttavia, le banche possono derogare a tale disposizione, affidando dette funzioni a un organismo appositamente istituito, dandone adeguata motivazione. 2. Caratteristiche e compiti delle funzioni aziendali di controllo Tra le diverse novità introdotte, le nuove disposizioni prevedono esplicitamente che: - i responsabili delle funzioni aziendali di controllo siano nominati e revocati (motivandone le ragioni) dall Organo con funzione di supervisione strategica, sentito l Organo con funzione di controllo. La nomina deve avvenire secondo procedure di selezione formalizzate; - i responsabili delle funzioni aziendali di controllo dei rischi e di conformità alle norme siano collocati alle dirette dipendenze dell Organo con funzione di gestione o dell Organo con funzione di supervisione strategica; - abbiano risorse economiche, eventualmente attivabili in autonomia, permettendo alle funzioni aziendali di controllo di ricorrere a consulenze esterne; Protiviti 2

3 - le banche formalizzino e incentivino programmi di rotazione delle risorse tra le funzioni aziendali di controllo, al fine di assicurarne l indipendenza, di favorire la formazione di competenze trasversali e l acquisizione di una visione complessiva e integrata dell attività di controllo. Si evidenzia, inoltre, che la Banca d Italia ritiene non compatibile con l assetto del sistema dei controlli interni l istituzione di una figura di coordinamento dei controlli di secondo livello, cui riportano gerarchicamente i responsabili di dette funzioni, in quanto questa provocherebbe la creazione di un ulteriore livello, con il rischio che la dialettica diretta venga filtrata dal soggetto intermedio. Naturalmente, ciò non vieta (secondo la Banca d Italia) che all interno dell Organo con funzione di gestione o dell Organo con funzione di supervisione strategica venga specificatamente individuato un Amministratore che assuma il ruolo di coordinamento delle funzioni aziendali di controllo, in linea anche con quanto previsto dal Codice di Autodisciplina di Borsa Italiana (rif. a Resoconto della consultazione, pag. 38). Funzione di conformità alle norme (funzione di Compliance) La funzione di Compliance [ ] presiede, secondo un approccio risk based, alla gestione del rischio di non conformità con riguardo a tutta l attività aziendale [..]. Le nuove disposizioni, pur estendendo il perimetro di operatività a tutte le norme di legge applicabili alle banche, prevedono che il coinvolgimento della funzione di Compliance debba essere proporzionale al rilievo che le singole norme hanno per l attività svolta, nonché alle conseguenze della loro violazione. Sulla base di un approccio risk based, il coinvolgimento della funzione di Compliance: - deve essere massimo, con riferimento alle norme in materia di attività bancaria e servizi di investimento, di gestione dei conflitti di interesse, di trasparenza nei confronti della clientela, di tutela del consumatore. La funzione di Compliance è l owner principale ed è direttamente responsabile della gestione del rischio di non conformità; - può essere meno intenso, con riferimento alle norme per le quali sono già previste forme di presidio specializzato (es.: salute e sicurezza sul lavoro, trattamento dei dati personali, ecc.). La funzione di Compliance è comunque responsabile, in collaborazione con le funzioni specialistiche incaricate, della definizione delle metodologie di valutazione del rischio di non conformità, dell individuazione delle relative procedure, nonché dell esecuzione delle verifiche di adeguatezza delle procedure stesse. Nel perimetro di operatività della funzione di Compliance è stato esplicitamente incluso il rischio di non conformità alla normativa di natura fiscale. Con riferimento a detto rischio, le banche possono prevedere un minor coinvolgimento della funzione di Compliance, alla quale spetta comunque la definizione delle relative procedure e la verifica dell adeguatezza delle stesse. Funzione di controllo dei rischi (funzione di Risk Management) I compiti della funzione di controllo dei rischi vengono ampliati: - la funzione di Risk Management è coinvolta nella definizione del RAF, delle politiche di governo dei rischi e del processo di gestione dei rischi, nonché nella fissazione dei limiti operativi all assunzione delle varie tipologie di rischio; - in tale ambito, ha anche il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF e, in caso di modifiche del contesto operativo interno ed esterno della banca, l adeguamento di tali parametri; dà pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore rilievo. In linea con quanto stabilito dalle linee guida internazionali (cfr., tra l altro, EBA Guidelines on internal governance; FSB Thematic Review on Risk Governance ), la Banca d Italia identifica il Chief Risk Officer (CRO) con il Responsabile della funzione Risk Management che, in quanto tale, non può essere sovraordinato gerarchicamente al Responsabile della funzione Compliance, fatto salvo il principio di proporzionalità. Le due funzioni, infatti, essendo entrambe di secondo livello e, richiedendo professionalità tra loro eterogenee (sebbene complementari), devono conservare indipendenza reciproca e autonomia di giudizio. Funzione di revisione interna (Internal Audit) Le nuove disposizioni hanno attribuito nuovi compiti e responsabilità all Internal Audit, con riferimento all ICT auditing, nonché al RAF e al processo di gestione dei rischi. In particolare, l Internal Audit: - deve inserire nel piano annuale di audit una specifica sezione relativa all attività di revisione del sistema informativo (ICT auditing); - valuta l efficacia del processo di definizione del RAF, la coerenza interna dello schema complessivo e la conformità dell operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali; - verifica l efficacia dei poteri della funzione di controllo dei rischi di fornire pareri preventivi sulla coerenza con il RAF delle operazioni di maggior rilievo; Protiviti 3

4 - valuta l organizzazione, i poteri e le responsabilità della funzione di controllo dei rischi, anche con riferimento alla qualità e all adeguatezza delle risorse a questa assegnate, l appropriatezza delle ipotesi utilizzate nelle analisi di sensitività e di scenario e negli stress test, nonché l allineamento con le best practice diffuse nel settore. 3. Indicazioni per la definizione del Risk Appetite Framework (RAF) 2 La parametrizzazione del Framework definisce l area di rischio entro la quale la banca intende muoversi. Gli obiettivi di rischio, le soglie di tolleranza e i limiti di rischio sono, di norma, declinati in termini di capitale a rischio, adeguatezza patrimoniale e liquidità. Sviluppare il RAF significa dunque far nascere una cultura del rischio all interno della banca attraverso un approccio strutturato, incorporando gli obiettivi dell alta direzione, in termini di business e di rischio, e le aspettative dei principali stakeholder. Il processo di progettazione e realizzazione del RAF è pervasivo e implica l attivo coinvolgimento di diverse strutture aziendali: il Board, i Comitati, il Risk Management, la Finanza e le unità di business. Nei gruppi bancari, la capogruppo definisce e approva il RAF di gruppo. Gli organi aziendali delle società componenti il gruppo, secondo le rispettive competenze, agiscono in coerenza con il RAF di gruppo. La capogruppo deve dunque rendere partecipi gli organi aziendali delle controllate delle scelte effettuate in materia di RAF. 4. Modalità di esternalizzazione delle funzioni aziendali di controllo Le nuove disposizioni introducono una disciplina organica in materia di esternalizzazione di funzioni aziendali, con previsioni diverse a seconda che si tratti di esternalizzazioni all interno o all esterno di un gruppo bancario. Esternalizzazioni all esterno del gruppo Le banche che ricorrono all esternalizzazione di funzioni aziendali sono tenute a presidiare attentamente i rischi derivanti da tale azione, mantenendo la capacità di controllo e la responsabilità delle attività esternalizzate, nonché le competenze essenziali per re-internalizzare le stesse in caso di necessità. In particolare: - l esternalizzazione è ammessa, di norma, per le sole banche classificate, a fini SREP, nella macro-categoria 4 3 ; - la banca nomina specifici referenti per ciascuna delle singole funzioni aziendali di controllo esternalizzate (con le stesse modalità previste per le funzioni aziendali non esternalizzate); - il soggetto terzo deve essere indipendente rispetto alla banca presso la quale assume l incarico; non deve cumulare incarichi relativi a funzioni aziendali di controllo di secondo e di terzo livello per una stessa banca o gruppo bancario; non svolge la funzione di revisione legale dei conti; non svolge contemporaneamente, per la 2 Cfr. Insight n. 36 Febbraio 2012 Risk Appetite Framework: uno strumento chiave di sostenibilità per il mondo finanziario, disponibile sul sito di Protiviti 3 Cfr. Circolare 269 del 7 maggio 2008, Guida per l attività di vigilanza, Sezione I, Capitolo I.5. Protiviti 4

5 stessa banca o gruppo bancario, incarichi relativi a funzioni aziendali di controllo e attività che sarebbe chiamato a controllare in qualità di fornitore di servizi; - le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo ne danno comunicazione preventiva alla Banca d Italia. Esternalizzazioni all interno del gruppo La capogruppo definisce la politica aziendale in materia di esternalizzazione all interno del gruppo bancario. Ferma restando la responsabilità della banca in merito alle attività esternalizzate e al buon funzionamento dei controlli interni, tale esternalizzazione (consentita, indipendentemente dalle dimensioni e dalla complessità operativa della banca) richiede una valutazione documentata su costi/benefici/rischi; un assunzione di consapevolezza da parte degli organi aziendali delle componenti del gruppo coinvolte nella scelta e la nomina di appositi referenti con specifici compiti in quelle banche che, a giudizio della capogruppo, assumono rischi rilevanti per il gruppo nel suo complesso. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento di funzioni operative importanti o di controllo nell ambito del gruppo di appartenenza ne danno comunicazione preventiva alla Banca d Italia tramite la propria capogruppo. 5. Obblighi in capo a succursali di banche comunitarie ed extracomunitarie aventi sede nei paesi del Gruppo dei Dieci o in quelli inclusi in un elenco pubblicato e periodicamente aggiornato dalla Banca d Italia Per le succursali di banche comunitarie/extracomunitarie, il legale rappresentante della succursale attesta annualmente lo svolgimento di una verifica di conformità della condotta aziendale rispetto a tutte le norme italiane applicabili alla succursale e riferisce sinteticamente alla Banca d Italia in merito all esito di tale verifica. Per le succursali di banche extracomunitarie, il legale rappresentante della succursale attesta altresì che la completezza, l adeguatezza, la funzionalità, l affidabilità del sistema dei controlli interni è stata verificata attraverso un processo di revisione interna. b. Sistema informativo Il sistema informativo rappresenta uno strumento di primaria importanza per il conseguimento degli obiettivi strategici e operativi degli intermediari, in considerazione della criticità dei processi aziendali che dipendono da esso. Tra la normativa richiamata, si segnalano le Recommendations for the security of internet payments, emanate dalla BCE il 31 gennaio I principali aspetti formalizzati sono: 1. Governo e Organizzazione dell ICT Definizione degli organi che devono essere a presidio del Sistema Informativo, ed in particolare l Organo con funzione di supervisione strategica, l Organo con funzione di gestione e la funzione di Sicurezza Informatica. 2. Analisi del Rischio Informatico L analisi del rischio informatico costituisce uno strumento a garanzia dell efficacia ed efficienza delle misure di protezione delle risorse ICT, permettendo di graduare le misure di mitigazione nei vari ambienti in funzione del profilo di rischio dell operatore. 3. Sistema di Gestione della Sicurezza Informatica La gestione della sicurezza informatica deve comprendere i processi e le misure volti a preservare la sicurezza delle informazioni e dei beni aziendali, a garantire a ciascuna risorsa informatica una protezione, in termini di riservatezza, integrità, disponibilità, verificabilità e accountability, appropriata e coerente lungo l intero ciclo di vita. 4. Sistema di Gestione dei Dati Il sistema di registrazione e reporting dei dati è deputato a tracciare tempestivamente tutte le operazioni aziendali e i fatti di gestione, al fine di fornire informazioni complete ed aggiornate sulle attività aziendali e sull evoluzione dei rischi. 5. Esternalizzazione di sistemi e servizi ICT Si rivolge in particolare a casi di full outsourcing o di esternalizzazione di componenti critiche del sistema informativo. L intermediario deve valutare attentamente tutti i rischi inerenti tale opzione e mettere in atto le idonee misure di contenimento; deve anche porre particolare cautela nella valutazione di offerte di servizi in outsourcing erogati secondo modelli innovativi che prevedono la fruizione delle risorse informatiche nella forma di servizi accessibili via rete e configurabili in modo flessibile dall utente (cloud computing). Protiviti 5

6 Sono anche definiti i documenti che l azienda deve sviluppare, chi li deve approvare e la relativa periodicità di aggiornamento: Policy e standard aziendali Documenti essenziali Valutazioni aziendali Documento di indirizzo strategico per l ICT Metodologia di analisi del rischio informatico Policy di sicurezza ICT Organigramma della funzione ICT Standard di Data Governance Procedura di gestione dei cambiamenti Procedura di gestione degli incidenti Piano operativo Rapporto sintetico su valore e costi dell ICT Rapporto sintetico sulla situazione rischio informatico Rapporti dell IA e delle altre funzioni responsabili della valutazione della sicurezza c. Continuità operativa In ambito di continuità operativa, sono formalmente identificate due categorie di requisiti: 1. Requisiti per tutti gli operatori Gli operatori devono definire un piano di continuità operativa per la gestione di situazioni di crisi conseguenti a incidenti di portata settoriale, aziendale ovvero a catastrofi estese che colpiscono l'operatore o le sue controparti rilevanti (altre società del gruppo; principali fornitori; clientela primaria; specifici mercati finanziari; sistemi di regolamento, compensazione e garanzia). Gli operatori devono identificare in modo circostanziato i processi relativi a funzioni aziendali di particolare rilevanza che, per l impatto dei danni conseguenti alla loro indisponibilità, necessitano di elevati livelli di continuità operativa da conseguire mediante misure di prevenzione e con soluzioni di continuità operativa da attivare in caso di incidente. 2. Requisiti particolari per i processi a rilevanza sistemica La Banca d Italia comunica a ciascun operatore i processi a rilevanza sistemica di pertinenza (per la declinazione di tali processi vedere Titolo V Capitolo 9 Sezione III Pagina 13). Per questa tipologia di processi è previsto il coinvolgimento del CODISE 4, una struttura per il coordinamento delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d'italia. Nel caso in cui gli scenari considerati per i piani di continuità operativa determinino impatti particolarmente gravi, gli obiettivi di ripristino indicati possono subire un adattamento che sarà segnalato agli operatori interessati dalla Banca d Italia. Banca d Italia richiede inoltre, a tutti gli operatori sistemici, di inviare un informativa annuale sulle principali caratteristiche del piano di continuità operativa, sugli adeguamenti e integrazioni intervenuti in corso d anno, sulle verifiche da parte dell Internal Audit, sui principali incidenti e sulle criticità ricorrenti. * * * Protiviti, da anni impegnata nell assistenza ai propri Clienti su tematiche inerenti al Sistema dei controlli interni, Sistema Informativo e Continuità operativa, può assistere la Vostra organizzazione nell intero processo di adeguamento alle nuove disposizioni, in particolare nella realizzazione della gap analysis richiesta da Banca d Italia e sta già svolgendo questa attività presso un primario gruppo bancario italiano, al fine di preparare il piano entro la fine dell anno. Contatto: Giacomo Galli giacomo.galli@protiviti.it Tel: Gruppo di Lavoro sulla continuità di servizio della piazza finanziaria italiana Protiviti 6