Nella giornata di ieri sono state pubblicate le attese nuove disposizioni per le banche in materia di “sistema dei controlli interni”, “sistema informativo” e “continuità operativa”.
Le nuove disposizioni entrano in vigore dalla pubblicazione con effetto di pubblicità legale nel sito Internet della Banca d’Italia.
In considerazione della significatività dell’intervento normativo e al fine di agevolare l’adeguamento alle nuove disposizioni, è stato previsto un periodo transitorio e l’invio di una gap analysis da parte delle banche.
L’intervento sul sistema dei controlli interni ha l’obiettivo di rafforzare la capacità delle banche e dei gruppi bancari di presidiare i rischi aziendali, creando un quadro normativo organico e coerente con le migliori prassi internazionali e con le raccomandazioni dei principali standard setter.
La disciplina si ispira ad alcuni principi di fondo: il coinvolgimento dei vertici aziendali; l’esigenza di assicurare una visione integrata dei rischi; l’attenzione ai temi dell’efficienza e dell’efficacia dei controlli; la valorizzazione del principio di proporzionalità, che consente di graduare l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche.
Le nuove disposizioni richiedono alle banche di dotarsi un sistema dei controlli interni che sia completo, adeguato, funzionale e affidabile; le principali novità rispetto al vigente quadro normativo riguardano in particolare:
– il ruolo e i compiti dell’organo con funzione di supervisione strategica e dell’organo con funzione di gestione: al primo spetta la definizione del modello di business e del Risk Appetite Framework, l’approvazione di un codice etico; al secondo è invece richiesto di avere un’approfondita comprensione di tutti i rischi aziendali e, nell’ambito di una gestione integrata, delle loro interrelazioni reciproche con l’evoluzione del contesto esterno (incluso il rischio macroeconomico);
– l’enfasi posta sulla definizione, da parte dei vertici aziendali, delle politiche e dei processi aziendali di maggiore rilievo (gestione dei rischi; la valutazione delle attività aziendali; l’approvazione di nuovi prodotti/servizi, ecc.);
– la revisione della disciplina delle funzioni aziendali di controllo (internal audit, compliance e risk management), al fine di: (i) rafforzare le procedure di nomina e revoca e la posizione gerarchico – funzionale dei relativi responsabili; (ii) ampliare i compiti del responsabile della funzione di risk management (chief risk officer); (iii) chiarire che la funzione di compliance assicura il presidio del rischio di non conformità con riferimento a tutte le norme applicabili alle banche, graduandone il coinvolgimento in relazione al rilievo che le singole norme hanno per l’attività svolta;
– l’introduzione di una disciplina organica in materia di esternalizzazione di funzioni aziendali che distingue tra l’esternalizzazione all’interno del gruppo bancario da quella all’esterno dello stesso.
E’ stata aggiornata anche:
– la disciplina del sistema informativo, anche per recepire le principali evoluzioni emerse nel panorama internazionale. Oltre a disciplinare le modalità di governo del sistema informativo, di gestione del rischio informatico e i requisiti per assicurare la sicurezza informatica, le disposizioni recepiscono le raccomandazioni della BCE per la sicurezza delle transazioni bancarie tramite internet;
– la materia della continuità operativa, riorganizzando le disposizioni attualmente contenute in diverse fonti. Tra le novità di maggiore rilievo, vi è la formalizzazione del ruolo del CODISE – struttura per il coordinamento della gestione delle crisi operative della piazza finanziaria italiana presieduta dalla Banca d’Italia.
Seguiranno approfondimenti.
(Sabrina Galmarini – s.galmarini@lascalaw.com)
