Vigilanza

Sistema dei controlli interni, sistema informativo e continuita’ operativa: Banca d’Italia avvia la consultazione

Il 4 settembre 2012 Banca d’Italia ha posto in consultazione l’atteso schema di Disposizioni di vigilanza prudenziale in materia di sistemi di controlli interni e sistema informativo delle banche e dei gruppi bancari nonché di continuità operativa delle banche e di altri intermedi. Lo schema è accompagnato da una Relazione preliminare sull’analisi di impatto.

Le principali finalità dello schema di regolamentazione sono:

  • il rafforzamento della capacità delle banche di gestire i rischi aziendali;
  • la revisione organica dell’attuale quadro normativo, resasi necessaria a seguito dell’emanazione, negli ultimi anni, di una serie di disposizioni che hanno interessato il funzionamento dei controlli interni;
  • la definizione di un quadro normativo omogeneo che, in base al principio di proporzionalità, tiene conto della natura dell’attività svolta, della tipologia dei servizi prestati, della complessità operativa e della dimensione operativa delle banche;
  • la definizione di una  disciplina coordinata con le disposizioni contenute nel Regolamento congiunto Banca d’Italia – Consob del 29 ottobre 2007;
  • l’allineamento alle previsioni di cui alle bozze di direttive e regolamenti europei.

Lo schema di disciplina rappresenta la cornice di riferimento per le disposizioni sui controlli dettate all’interno di specifici ambiti disciplinari che ne completano e integrano la portata.

In quest’ambito, lo schema definisce:

  • i principi generali del sistema dei controlli interni;
  • il ruolo degli organi a cui è rimessa la responsabilità primaria di formalizzare le politiche di governo dei rischi, di istituire il processo di gestione dei rischi e di procedere al loro riesame periodico;
  • l’istituzione e i compiti delle funzioni aziendali di controllo. Sono definiti i requisiti di indipendenza delle funzioni, la programmazione e la rendicontazione della loro attività, i rispettivi compiti e rapporti reciproci nonché i rapporti con le altre funzioni aziendali;
  • l’esternalizzazione di funzioni aziendali. Le banche che adottano scelte di outsourcing devono presidiare attentamente i relativi rischi, mantenendo la capacità di controllo e la responsabilità delle attività esternalizzate nonché le competenze essenziali per re-internalizzare le stesse in caso di necessità; disposizioni specifiche riguardano le condizioni per esternalizzare funzioni aziendali importanti o di controllo;
  • i controlli nei gruppi bancari;
  • le regole applicabili alle succursali di banche comunitarie e di banche extracomunitarie aventi sede nei paesi del Gruppo dei Dieci;
  • il sistema informativo. La disponibilità di risorse ICT sicure, adeguate alle esigenze del business e in grado di supportare le strategie aziendali e il controllo dei rischi si affianca e accresce l’efficacia dei controlli interni. Vengono riportate, dopo essere state razionalizzate ed aggiornate, alcune previsioni normative dettate nel corso del tempo con riferimento ad aspetti particolari, rilevanti ai fini della individuazione dei requisiti di affidabili ed efficaci sistemi di controllo interno. Esse riguardano i controlli sulle filiali estere e le disposizioni in materia di continuità operativa.

Rispetto al vigente quadro normativo, i principali elementi di novità riguardano:

  • l’introduzione di specifici principi generali di organizzazione che, oltre agli aspetti strettamente pertinenti al sistema dei controlli, riguardano altri profili, quali le politiche di gestione delle risorse umane e la prevenzione dei conflitti di interessi;
  • l’obbligo per le banche di definire processi e metodologie di valutazione, anche a fini contabili, delle attività aziendali in modo integrato con il processo di gestione del rischio;
  • l’obbligo, da parte dell’organo con funzione di supervisione strategica, di definire il livello di rischio tollerato;
  • l’approvazione, da parte dell’organo con funzione di supervisione strategica, di un codice etico a cui sono tenuti a uniformarsi i componenti degli organi aziendali e i dipendenti;
  • l’adozione di un approccio integrato alla gestione dei rischi;
  • l’obbligo da parte degli organi aziendali di definire il processo per l’approvazione di nuovi prodotti e servizi, l’avvio di nuove attività e l’inserimento in nuovi mercati;
  • le disposizioni relative al coordinamento delle funzioni di controllo societarie
  • le modalità di nomina e revoca dei responsabili delle funzioni di controllo;
  • con riferimento alla funzione di conformità alle norme, particolare attenzione è posta sul rispetto della normativa fiscale in virtù delle significative ripercussioni in termini di rischio di reputazione e conseguenti danni patrimoniali che la violazione o l’elusione di tale normativa, ivi incluse le situazioni di abuso del diritto, comportano;
  • il rafforzamento dei poteri della funzione di controllo dei rischi (risk management function), che tra l’altro è tenuta a fornire pareri preventivi sulla coerenza con la politica aziendale di governo dei rischi delle operazioni di maggiore rilievo;
  • la previsione di una disciplina organica in materia di esternalizzazione di funzioni aziendali. In particolare, è prevista la notifica preventiva alla Banca d’Italia e, in alcuni casi, la possibilità di vietare l’outsourcing di funzioni operative importanti o di controllo;
  • l’obbligo dell’organo con funzioni di supervisione strategica di definire procedure di allerta interna (internal alert) volte a permettere la segnalazione da parte dei dipendenti di eventuali disfunzioni dell’assetto organizzativo o del sistema dei controlli interni nonché di ogni altra irregolarità nella gestione della banca o violazione delle norme disciplinanti l’attività bancaria;
  • la disciplina organica e aggiornata in materia di sistema informativo, con particolare riferimento a: la governance e l’organizzazione dell’ICT, la gestione del rischio informatico, la sicurezza informatica, il sistema di gestione dei dati, l’esternalizzazione di sistemi e servizi ICT;
  • tra i requisiti in tema di continuità operativa, è prevista la condivisione di informazioni tra il sistema di incident management e la struttura preposta alla dichiarazione dello stato di emergenza, in caso di eventi di elevata gravità.

Osservazioni, commenti e proposte potranno essere trasmessi entro 60 giorni dalla pubblicazione.

I commenti ricevuti durante la consultazione saranno pubblicati sul sito web della Banca d’Italia.

(Sabrina Galmarini – s.galmarini@lascalaw.com)

Print Friendly

Condividi su

Potrebbe interessarti anche
Il Manuale Utente delle comunicazioni oggettive

La Banca d’Italia ha pubblicato in Gazzetta Ufficiale (n. 84 dell’8 aprile 2021) il provvediment...

Vigilanza

Mario Valentino vs. Valentino

Si segnala che è presente sul sito della Banca d’Italia la piattaforma “Servizi online”, che ...

Vigilanza

Nuove regole per l’accesso alla Centrale Rischi in consultazione

Banca d’Italia, con provvedimento del 16 febbraio 2021 (il “Provvedimento”), ha emanato il sec...

Vigilanza

X