Il sistema dei controlli interni nella governance bancaria: riforme recenti e attese di revisione normativa

Premessa

La crisi ha evidenziato come il combinato di carenze nello strumentario del risk management, distorsioni nei sistemi di remunerazione nonché inadeguatezze della governance abbia determinato un circolo vizioso che ha portato per le banche all’assunzione di rischi sempre crescenti.

Nella relazione sulle cause e sulle debolezze di sistema che hanno condotto alle turbolenze sui mercati finanziari, il Financial Stability Board[1] ha più volte sottolineato il valore strategico di un buon management e di un sistema efficiente ed efficace dei controlli interni.

Controlli e governo societario sono aspetti che si integrano e concorrono insieme al buon funzionamento dell’impresa e sono fondamentali per perseguire una duratura creazione di valore,  aumentare la fiducia degli investitori e assicurare al contempo una sana crescita economica.

La validità di tale assunto è oramai pienamente riconosciuta.

Prova ne sono:

–                 le numerose iniziative a livello internazionale:

il Comitato di Basilea ha aggiornato i principi di corporate governance nonché posto in consultazione una nuova versione dei Core Principles della vigilanza bancaria[2]; il Financial Stability Board ha emanato principi e standard stringenti sui sistemi di remunerazione e incentivazione, già tradotti in Europa, con norme cogenti sfociate nell’adozione della CRD3; l’EBA a sua volta ha emanato Guidelines applicative sia sulla remunerazione sia, più in generale, sugli aspetti organizzativi e il governo societario[3].

 

–                 I provvedimenti legislativi e regolamentari in corso di adozione

un cenno particolare merita la rivisitazione in ambito europeo dell’accordo di Basilea 3. La proposta attualmente all’esame delle Istituzioni europee (Commissione, Consiglio e Parlamento) è costituita da due atti normativi, un regolamento e una direttiva (la cosiddetta “CRD4”), che toccano tutti gli aspetti dell’accordo: capitale, rischi, liquidità, leverage, governance, sanzioni, poteri delle Autorità di Vigilanza[4]. Le nuove regole di governance e risk management sono principalmente contenute nella bozza di direttiva[5]. Essa approfondisce i criteri di composizione del board, dettagliandone le responsabilità nella gestione e nel controllo dei rischi.

Altresì, tale documento delinea la presenza di adeguate professionalità, individuali e collettive, rafforzando la funzione del risk management.  Introduce le linee di reporting diretto verso gli organi di vertice, prescrive, almeno per le banche di maggiori dimensioni, limiti armonizzati al cumulo degli incarichi e la costituzione di comitati specialistici interni al board (i comitati nomine e rischi si aggiungono a quello sulla remunerazioni, già previsto dalla CRD3).

Rispetto ai pochi principi generali sugli assetti di governo societario contenuti nella direttiva vigente, il cambiamento è pertanto particolarmente significativo.

 

–                 Le scelte adottate dagli stessi operatori del mercato.

Molti sono stati i progressi compiuti dalle banche sul fronte della governance e della capacità di fare gestione, controllo e misurazione dei rischi. E’ certamente migliorata la distinzione dei compiti e delle responsabilità; la dialettica tra la funzione di supervisione strategica, gestione e controllo; la capacità delle funzioni di controllo interno di operare con autorevolezza e indipendenza; l’attenzione al collegamento tra i rischi[6].

 

La corporate governance nelle banche italiane

La Banca d’Italia ha definito da tempo regole in materia di governo e controllo interno delle banche da essa vigilate.

Le soluzioni adottate sono ancora in linea con gli standard internazionali; su taluni aspetti sono persino più rigorose. Le aree su cui tradizionalmente la Banca d’Italia ha esercitato la propria azione sono quelle degli assetti di amministrazione e controllo delle banche e del sistema dei controlli interni.

Le novità più recenti sono rappresentate:

–          dalle Disposizioni di vigilanza del 10 marzo 2007 in materia di compliance;

–          dal Provvedimento congiunto Banca d’Italia-Consob del 29 ottobre 2007 che disciplina il sistema dei controlli interni degli intermediari finanziari che prestano servizi di investimento e della Comunicazione congiunta in materia di ripartizione delle competenze tra compliance e internal audit dell’8 marzo 2011;

–          dalle Disposizioni di vigilanza del 4 marzo 2008 in materia organizzazione e governo societario,

–          la Nota di chiarimento del 19 febbraio 2009 in materia di organizzazione e governo societario;

–          dal Provvedimento del 30 marzo 2011 in materia di politiche e prassi si remunerazione e incentivazione nelle banche e nei gruppi bancari;

–          dalla Comunicazione del Governatore della Banca d’Italia del 11 gennaio 2012 sempre in materia di organizzazione e governo societario.

Ulteriori e recenti disposizioni che prescrivono specifici requisiti organizzativi, anche se a valere su tematiche di dettaglio sono:

–          il Provvedimento del 10 marzo 2011 recante disposizioni in materia di organizzazione, procedure e controlli interni che gli intermediari bancari e finanziari devono adottare a fini di prevenzione e contrasto del riciclaggio e del finanziamento al terrorismo.

–          dal 9° aggiornamento del 12 dicembre 2011 delle Disposizioni prudenziali  per le banche in materia di partecipazioni detenibili dalle banche e dai gruppi bancari, rivista in attuazione della delibera del CICR del 29 luglio 2008, n. 276, e di attività di rischio e dei conflitti di interesse nei confronti di soggetti collegati alla banca o al gruppo bancario in attuazione della delibera del CICR del 29 luglio 2008, n. 277.

Tutti questi provvedimenti, ma non solo, enfatizzano le responsabilità dei vertici aziendali e precisano i ruoli e i compiti che devono essere assegnati al sistema di controllo interno.

Tappa intermedia di questo processo che ci porterà alla trasposizione in ambito europeo dell’accordo di Basilea 3[7] dovrebbe essere la revisione delle disposizioni di vigilanza in materia di organizzazione e controlli interni per recepire i diversi provvedimenti normativi nonché i chiarimenti intervenuti negli ultimi anni e l’introduzione di alcuni adeguamenti in relazione alle esigenze riscontrate nell’attività di supervisione.

Nel Piano 2011 di Banca d’Italia per l’attività normativa già si prevedeva che la revisione della disciplina prudenziale dei controlli interni delle banche avrebbe dovuto essere posta in consultazione nel luglio 2011 (con un possibile slittamento in avanti dei tempi di realizzazione del progetto dovuta alle difficoltà nella predisposizione dell’analisi di impatto).

Non dovrebbe comunque mancare molto all’apparizione di questo documento.

Nel regolamentare il sistema dei controlli interni delle banche, è immaginabile che l’Autorità di Vigilanza seguirà i medesimi criteri, ormai consolidati, propri delle normative attinenti all’organizzazione aziendale degli intermediari[8].

Dovrebbe trattarsi di una regolamentazione principle based che indicherà i principi generali, integrati, ove necessario, da linee applicative e indicazioni sulle prassi virtuose. Il grado di prescrittività delle regole dovrebbe essere informato al noto principio di proporzionalità, canone interpretativo e applicativo cui le banche dovranno fare riferimento per trasportare le indicazioni di vigilanza nella specifica realtà aziendale.

Per quanto riguarda i contenuti, temi centrali non potranno che essere l’unitarietà e l’organicità del sistema dei controlli; la piena integrazione tra le diverse funzioni e la riconduzione a unità di quelle tra di esse che hanno caratteristiche simili e svolgono compiti analoghi; il dialogo tra le diverse funzioni preposte; la valorizzazione di tutti gli obiettivi di controllo; la necessità di aggiornare nel continuo le modalità di misurazione e valutazione di tutti i rischi cui l’intermediario sia esposto o intenda esporsi[9].

Tali indicazioni trovano, peraltro, conferma, anche se forse con un grado di dettaglio inferiore rispetto a quanto potrebbe essere prescritto per le banche, nella bozza di Disposizioni di Vigilanza per gli intermediari finanziari predisposte in attuazione del D.lgs. 141/2010 di riforma del Titolo V del Testo Unico Bancario recentemente posta in consultazione.

 

Alcuni spunti di riflessione per non snaturare l’impianto dei controlli ed in particolare delle funzioni di Risk Management e Compliance

Nell’attesa della revisione delle disposizioni di vigilanza in materia di organizzazione  e controlli interni e a seguire del recepimento della CRD4 (ancora in bozza) e nella convinzione che una buona qualità dei controlli consenta, entro certi limiti, di ridurre il fabbisogno di capitale economico necessario rispetto ai rischio e rappresenti il più efficace (e in certi casi l’unico) presidio per quei rischi non pienamente misurabili (di compliance, reputazionali), vale la pena fare il punto su ciò che il sistema bancario italiano, specie quello rappresentato dalle banche di medio-piccola dimensione, ha fatto sino ad ora per fare fronte alle aspettative della Banca d’Italia con specifico riguardo alla costruzione di un efficace ed efficiente sistema di controlli interni.

Il punto di partenza potrebbe essere,  a oltre 4 anni dall’entrata in vigore delle Disposizioni di vigilanza del 10 marzo 2007 in materia di compliance e del Provvedimento congiunto Banca d’Italia-Consob del 29 ottobre 2007, l’esito dell’indagine circa lo stato dell’arte e le prospettive di evoluzione della Funzione Compliance presso le banche ed i gruppi bancari, il cui estratto è stato presentato nel corso del Convegno “Compliance in Banks” tenutosi a Roma il 10 e 11 novembre 2011 sotto l’egida dell’ABI.

In estrema sintesi, e volendo concentrare l’attenzione sugli aspetti che potrebbero essere oggetto di interventi migliorativi, è emerso:

a) relativamente alla organizzazione della Funzione di Compliance e ai suoi rapporti con le altre funzioni (ad esempio quella di Risk Management):

–          l’auspicio circa la presenza nell’organico della funzione di compliance di maggiori competenze di tipo legale, audit, finanza e organizzazione e circa tutta la normativa di Basilea;

–          il sottodimensionamento della funzione;

–          la non elevata fascia di età del personale facente parte della funzione

–          la sostanziale stabilità del budget della funzione;

–          la non adeguata implementazione della verifica dell’efficacia degli interventi di adeguamento per la mitigazione del rischio di compliance e della misurazione  quantitativa del rischio di non conformità;

–          l’esigenza di effettuare approfondimenti formativi specifici sulle metodologie di analisi del rischio di compliance;

 

b) relativamente alle attività specifiche della Funzione di Compliance:

–          l’incardinamento nella Funzione Compliance anche della Funzione di Risk Management e della Funzione  Antiriciclaggio;

–          la partecipazione del Responsabile Compliance all’Organismo di Vigilanza 231/2001;

–          l’attribuzione alla Funzione Compliance l’attività di vera e propria trattazione dei reclami;

–          la tendenza ad ampliare  il perimetro della Funzione Compliance a normative che esulano dal settore bancario, che richiedono competenze specialistiche quali il diritto tributario, fiscale, giuslavoristico, la sicurezza e la salute sul lavoro.

 

Peculiarità nelle banche di medio-piccole dimensioni

Coniugare Risk Management e Compliance[10] con le rispettive metodiche di controllo e misurazione non è solo l’unica problematicità di una funzione integrata di 2° livello, tipica di una banca di medio-piccole dimensioni.

Infatti, nel tempo, si è già assistito in banche di queste dimensioni ad una fusione tra le unità di Risk Management, Compliance e Antiriciclaggio in un’unica unità; la finalità è stata quella di ricercare evidenti economie di scala e di scopo che le piccole banche debbono necessariamente perseguire.

Purtroppo però, sino ad ora, tale dinamica ha portato tale unica funzione a divenire un mero contenitore di deleghe consigliari.

A titolo esemplificativo riportiamo, per una banca di piccole dimensioni, il numero di deleghe consigliari ricevute dal Responsabile di tale attività, che diviene nei fatti vero e proprio Chief Risk Officer.

 

 

 

Si tenga inoltre presente che, in aggiunta a tali attività, un ufficio di questo tipo svolge ulteriori mansioni quali certificazioni; accertamenti bancari; attestazione delle esposizioni bancarie della clientela; gestione carte clonate/sottratte; gestione banconote di sospetta falsità; gestione eccedenze/ammanchi casse/bancomat, nonché i tradizionali controlli di natura ispettiva verso le filiali ed a presidio del rischio di frode/infedeltà dei dipendenti.

Numerose quindi sono le attività svolte da questa unica unità: a funzioni prettamente core si affiancano una molteplicità di funzioni no-core. “Il perimetro della funzione risulta esteso rispetto a quello “core” indicato dalla normativa. Infatti […] comprende in genere tutte le materie bancarie[11].

 

Conclusioni

La già citata recente Survey sulla Funzione di Compliance condotta dall’Abi nel mese di ottobre 2011 rileva inoltre che “c’è una tendenza a dare alla Compliance […] un riporto funzionale diretto al Consiglio di Amministrazione. Soluzioni alternative sono ancora rappresentate dal riporto al Direttore Generale. Nella maggior parte dei casi, il Responsabile  della Funzione Compliance è anche Responsabile di Antiriciclaggio […] E’ stato sottolineato che l’incardinamento dell’Antiriciclaggio nella Compliance […] potrebbe andare a scapito delle attività peculiari della FC stessa, in quanto il rischio di riciclaggio, prevedendo sanzioni penali, è quindi soggetto a maggiore attenzione[12].

Le funzioni svolte dall’Ufficio, inoltre, dovrebbero essere periodicamente valutate dai vertici aziendali: “Almeno una volta l’anno il Consiglio di Amministrazione, sentito il Collegio Sindacale, valuta l’adeguatezza della funzione di conformità alle norme”[13].

Analogamente è previsto un percorso per il Risk Management che, oltre ad essere sottoposto a verifica periodica dell’Audit Interno, deve relazionare al C.d.A. per ottemperare agli adempimenti Consob (cfr. Relazione redatta ai sensi dell’articolo 13 del Regolamento Congiunto Consob – Banca d’Italia del 29 ottobre 2007 da inviare alla Consob ai sensi della Delibera n. 17297 del 28 aprile 2010) oltre, ovviamente, alle note disposizioni di Vigilanza.

Si verificano episodi in cui il Consiglio di Amministrazione, di concerto con il Collegio Sindacale, non rivede regolarmente l’adeguatezza di questo presidio verso la totalità delle norme, così come da previsione normativa di Banca d’Italia sopra citata, determinando inefficienza nello svolgimento delle attività “core” della Funzione stessa a tutto vantaggio di quelle “no core” che altrimenti non sarebbero svolte da alcuna altra funzione all’interno dell’Istituto[14].

Banca d’Italia afferma inoltre che occorre che la Funzione Compliancesia dotata di risorse qualitativamente e quantitativamente adeguate ai compiti da svolgere  […] il personale che svolge funzioni di conformità deve essere adeguato per: numero; competenze tecnico-professionali; aggiornamento”[15]. Tuttavia, gli Istituti Bancari di medio-piccole dimensioni lamentano ancora un sottodimensionamento della funzione stessa fronte alla vastità dell’attività svolta.

Non da ultimo si potrebbe finalmente ipotizzare una partecipazione attiva del Responsabile della Funzione Compliance alle attività Consigliari dell’Istituto. Sull’argomento si è infatti espresso il Governatore della Banca d’Italia Ignazio Visco in data 11/01/2012. “Per garantire un governo efficace, unitario e coerente dei rischi, sono necessari una chiara determinazione ex ante dei livelli di rischi, nella loro più ampia accezione (rischi di credito, di mercato, operativi, reputazionali, di liquidità, funding etc.); un adeguato contributo e coinvolgimento delle funzioni aziendali competenti (in primis compliance, risk management, pianificazione strategica), anche attraverso la partecipazione ai lavori del board  o, ove costituiti, dei comitati interni ad esso[16].

 

La cultura del rischio è ormai l’elemento comune (o comunque unificante) del gruppo bancario e finanziario. Essa consente di integrare la gestione di attività molto differenti tra di loro per segmenti di mercato, presenze territoriali, profilo di rischio, tipologie di prodotti, di controparti e di identità aziendali. Tali tendenze organizzative sono irreversibili […] lo stesso corredo di conoscenze degli amministratori aziendali è destinato a mutare nel tempo, con un peso sempre maggiore per la cultura finanziaria e del rischio”[17].

Nelle banche di medio-piccole dimensioni siamo ancora agli esordi di questo lungo e non facile percorso che condurrà, ne siamo certi, ad una “forte” funzione del Chief Risk Management in grado di dialogare direttamente con i vertici dell’Istituto[18], parlando finalmente un unico idioma verso il board che è poi quello del riporto di tutti i rischi in Icaap[19].

Si precisa che trattasi di pareri dell’ autore che non coinvolgono l’Istituto di appartenenza.

11 maggio 2012

(Sabrina Galmarini – s.galmarini@lascalaw.com)

(Paolo Pogliaghi – Responsabile Servizio Compliance e Rischi BCC Carugate – x393@bcc.carugate.mi.it)

(Walter Vandali)

 

 


[1] Il Financial Stability Board (fino al 2009 Financial Stability Forum) è nato nel 1999 su iniziativa dei Ministri finanziari e dei Governatori delle Banche centrali del G7 sulla scia delle raccomandazioni dell’allora presidente della Deutsche Bundesbank, Hans Tietmeyer. Raccogliendo il messaggio dei suoi fondatori che ne approvarono la creazione durante il meeting tenutosi a Bonn nel febbraio del 1999, il Financial Stability Forum promuove la stabilità finanziaria internazionale e tenta di ridurre i rischi del sistema finanziario grazie allo scambio di informazioni e alla cooperazione tra le istituzioni finanziarie mondiali

[2] Basel Commitee on Banking Supervision, September 2010.

[3] EBA Guidelines on Internal Governance, September 2011.

[4] Sistemi di controllo dei rischi e governo degli intermediari: una prospettiva di vigilanza”, Intervento del Direttore Centrale per la Vigilanza Bancaria e Finanziaria della Banca d’Italia Stefano Mieli (Convegno “Corporate governance e gestione dei rischi: gli insegnamenti della crisi”, Milano 3 febbraio 2012).

[5] Capital Requirements Directive (la cosiddetta direttiva CRD IV), July 2011

[6] Pesic V., “Modelli di business, governance bancaria e performance aziendali: un’analisi attraverso un confronto internazionale”, in Bancaria n. 12 – dicembre 2011.

Resti A., “Liquidità e capitale delle banche: le nuove regole, i loro impatti gestionali”, in Bancaria n. 11 – novembre 2011.

Berlanda M., “Massa del capitale e forza dei controlli. Per una fisica bancaria equilibrata in materia di governo dei rischi”, in Bancaria n. 11 – novembre 2011.

[7] Mussari G., “Basilea 3 e le raccomandazioni dell’Eba: gli impatti sull’economia, le banche e le Pmi”, in Bancaria n. 2 – febbraio 2012.

[8] Tarantola A.M., “Il sistema dei controlli interni nella governance bancaria”, Convegno Dexia Crediop, Roma – giugno 2008.

[9] Maino R. – Zaini F., ”Banche e corporate governance: un passaggio critico verso Basilea 3”, in Bancaria n. 11 – novembre 2011.

Alberici A., “Le condizioni di efficienza per l’attività di compliance nelle banche: l’importanza dell’autonomia e dell’indipendenza”,  in Bancaria n. 2 – febbraio 2008.

[10] Pogliaghi P., “Come rivisitare le funzioni Compliance e Rischi nell’ottica del Chief Risk Officer”, in Newsletter Aifirm, n. 1 – anno 7 – 2012.

[11] ABI, Survey sulla Funzione di Compliance condotta nel mese di ottobre 2011.

[12] Si veda nota 11.

[13] Disposizioni di Vigilanza n 688006 del 10-07-2007di Banca d’Italia.

[14] Si veda nota 10.

[15] Disposizioni di Vigilanza n 688006 del 10-07-2007di Banca d’Italia.

[16] “Applicazione delle disposizioni di vigilanza in materia di organizzazione e governo societario delle banche” – Il Governatore Ignazio Visco, 11/1/2012.

[17] Maino R. – Zaini F., ”Banche e corporate governance: un passaggio critico verso Basilea 3”, in Bancaria n. 11 – novembre 2011.

[18] “Il ruolo del risk management per un efficace presidio dei rischi: le lezioni della crisi”, Intervento del Vice Direttore Generale della Banca d’Italia Anna Maria Tarantola, Milano, 10 novembre 2011 – SDA Bocconi

[19] Pogliaghi P. (2011),  “Il Credito Cooperativo verso Basilea 3”, in Bancaria, n. 6

Print Friendly

Condividi su