CAPITOLO SECONDO 2 IL SISTEMA DEI CONTROLLI INTERNI NELLE BANCHE

32

CAPITOLO SECONDO

2

IL SISTEMA DEI CONTROLLI INTERNI NELLE

BANCHE

2.1 Riferimenti normativi e di indirizzo

Con l’aumento della dimensione e complessità degli intermediari e la globalizzazione dei mercati, tutti gli operatori, a prescindere dall’ambito operativo di riferimento, sono obbligati ad istituire un sistema dei controlli efficace che permette di presidiare l’assunzione e la gestione consapevole dei rischi, di evitare danni alla reputazione e di assicurare adeguate e tempestive informazioni agli organi aziendali che dovranno essere in grado di assolvere in modo efficace alle proprie responsabilità.

Al fine di assicurare la sana e prudente gestione, l’azione dei Regolatori si è focalizzata, in particolare, sulla capacità del sistema dei controlli di assicurare presidi in grado di fronteggiare in modo proattivo e preventivo alla molteplicità di rischi propri della complessa gestione bancaria.

Dal 1999, in seguito all’introduzione delle Istruzioni di Vigilanza per le Banche, è stato intrapreso un percorso evolutivo che si è progressivamente articolato con l’inserimento da parte delle Autorità di Vigilanza di principi e presidi atti a rendere sempre più efficace e solido il complessivo Sistema dei Controlli Interni delle Banche.

Si citano, di seguito, i principali riferimenti normativi mediante i quali la materia in esame è regolata:

 Circolare n. 229 del 21 Aprile 1999, “Istruzioni di Vigilanza per le Banche”, Titolo IV, Capitolo 11, recante le disposizioni in materia di Sistemi dei Controlli Interni delle banche e dei gruppi bancari;

33

 Circolare n. 285 del 17 Dicembre 2013, “Disposizioni di Vigilanza per le Banche”, Titolo IV, Capitolo 3;

 Comunicazione della Banca d’Italia del 10 Luglio 2007, “Disposizioni di Vigilanza – La Funzione di Conformità alle norme (Compliance)”;

 Regolamento congiunto della Banca d’Italia e della CONSOB del 29 Ottobre 2007, in materia di organizzazione e controlli degli intermediari che prestano servizi di investimento e di gestione collettiva, ai sensi dell’art.6, comma 2-bis del TUF;

 Provvedimento recante disposizioni attuative in materia di organizzazione, procedure e controlli interni volti a prevenire l’utilizzo degli intermediari e degli altri soggetti che svolgono attività finanziaria a fini di riciclaggio e di finanziamento del terrorismo, ai sensi dell’art.7 comma 2 del Decreto Legislativo 21 Novembre 2007, n. 231;

 Provvedimento recante disposizioni attuative per la tenuta dell’Archivio Unico Informatico e per le modalità semplificate di registrazione di cui all’art.37, Commi 7 e 8, del Decreto Legislativo 21 Novembre 2007, n. 231;

 Comunicazione del 4 Marzo 2008, “Disposizioni di Vigilanza in Materia di Organizzazione e Governo Societario delle Banche” e relative linee applicative (Comunicazione del 11 Gennaio 2012);

 Comunicazione del 30 Marzo 2011, “Disposizioni in Materia di Politiche e Prassi di Remunerazione e Incentivazione nelle banche e nei gruppi bancari”;

 D.Lgs. 8 Giugno 2001 n. 231 “Disciplina della responsabilità amministrativa delle persone giuridiche, delle società e delle associazioni anche prive di personalità giuridica, a norma dell’art. 11 della legge 29 settembre 2000, n. 300”;

 Testo Unico delle leggi in materia bancaria e creditizia (D.Lgs. 1° settembre 1993, n. 385);

 Testo Unico della Finanza, art.154-bis, disciplinante il ruolo del dirigente preposto ai documenti contabili societari.

34

A tali disposizioni si aggiungo le fonti di autoregolamentazione, le quali attribuiscono specifici compiti in materia di Sistema di Controllo Interno (Codice di Autodisciplina, Comitato per la Corporate Governance, Borsa Italiana S.p.A).

Inoltre, vari Organismi internazionali hanno pubblicato, negli ultimi anni, linee guida e raccomandazioni riguardo all’organizzazione e al funzionamento del Sistema dei Controlli Interni:

 EBA/CEBS: “Guidelines on the Application of the Supervisory Review Process

under Pillar 2”, 25 Gennaio 2006; “Guidelines on outsourcing”, 14 Dicembre

2006; “Guidelines on the management of operational risks in market-related

activities”, 12 Ottobre 2010; “Guidelines on Internal Governance”, 27

Settembre 2011;

 Commissione Europea: “Libro verde in materia di “Corporate governance in

financial institutions and remuneration policies”, 2 Giugno 2010;

 Senior Supervisors Group: “Observations on Risk Management Practices during

Recent Market Turbolence”, 6 Marzo 2008; “Risk Management Lessons from the Global Banking Crisis of 2008”, 21 Ottobre 2009; “Observations on Developments in Risk Appetite Frameworks and IT Infrastructure”, 23

Dicembre 2010;

 Basel Committee on Banking Supervision: “Fair value measurement and

modeling: An assessment of challenges and lessons learned from market stress”,

Giugno 2008; “Principle for enhancing corporate governance”, Ottobre 2010; “The internal audit function in banks”, Giugno 2012;

 Financial Stability Board: “Enhancing Market and Insitutional Resilence”, 7 Aprile 2008;

 European Systematic Risk Board: “Raccomandazione in material di prestiti in

valuta estera (ESRB/2011/01), 21 Settembre 2011.

Tale quadro normativo rappresentato trova integrazione ed omogeneizzazione all’interno delle nuove Disposizioni di Vigilanza prudenziale per le banche, in materia

di “Sistemi dei Controlli Interni, sistema informativo e continuità operativa” (Circolare n. 285 del 17 dicembre 2013, Titolo IV – 17°Aggiornamento del 27 settembre 2016).

35

In merito alla disciplina introdotta la Banca d’Italia ha sottolineato che essa introduce un “quadro normativo organico e coerente con le migliori prassi internazionali e con le

raccomandazioni dei principali organismi internazionali” anticipando “anche il recepimento di principi e regole contenuti nella direttiva comunitaria CRD IV”, ispirandosi “ad alcuni principi di fondo: il coinvolgimento dei vertici aziendali; la visione integrata dei rischi; l’efficienza e l’efficacia dei controlli; l’applicazione delle norme in funzione della dimensione e della complessità operativa delle banche”28. Tra le molteplici novità introdotte nell’ultimo periodo rientra il mutato ruolo degli Organi aziendali, il rafforzamento del processo di gestione dei rischi con conseguente ampliamento dei poteri del Risk Management e la richiesta di determinati requisiti per le funzioni di controllo, la disciplina sul RAF (Risk Appetite Framework), il documento di coordinamento delle funzioni di controllo.

2.2 Principi generali e finalità

Il Sistema dei Controlli Interni è l’insieme delle regole, delle funzioni, delle strutture, delle risorse, dei processi e delle procedure che mirano ad assicurare, nel rispetto della sana e prudente gestione, il conseguimento delle seguenti finalità29:

 verifica dell’attuazione delle strategie e delle politiche aziendali;

 contenimento del rischio entro i limiti indicati nel quadro di riferimento per la determinazione della propensione al rischio della Banca (Risk Appetite Framework – RAF);

 salvaguardia del valore delle attività e protezione dalle perdite;

 efficacia ed efficienza dei processi aziendali;

 affidabilità e sicurezza delle informazioni aziendali e delle procedure informatiche;

 prevenzione del rischio che l’azienda sia coinvolta, anche involontariamente, in attività illecite;

28 _{Cfr. Comunicato stampa del 3 luglio 2013 pubblicato sul sito www.bancaditalia.it.} 29 _{Circolare Banca d’Italia n.285/2013, Titolo IV, Capitolo 3, Sezione I.}

36

 conformità delle operazioni con la legge e la normativa, anche di vigilanza, nonché con le politiche, i regolamenti e le procedure interne.

Tale sistema riveste un ruolo centrale nell’organizzazione aziendale ed è strategicamente rilevante in quanto:

 rappresenta un elemento fondamentale di conoscenza per gli Organi Aziendali in modo da garantire la piena consapevolezza dei rischi aziendali, le loro interrelazioni e il grado di efficacia dei presidi;

 orienta i mutamenti delle linee strategiche e delle politiche aziendali e consente di adattare in modo coerente il contesto organizzativo;

 presidia la funzionalità dei sistemi gestionali e il rispetto degli istituti di vigilanza prudenziale;

 favorisce la diffusione di una corretta cultura dei rischi, della legalità e dei valori aziendali.

Per la realizzazione di tali obiettivi, il Sistema di Controllo Interni, deve in generale:

 assicurare la completezza, l’adeguatezza, la funzionalità (in termini di efficienza ed efficacia), l’affidabilità del processo di gestione dei rischi e la sua coerenza con il RAF;

 prevedere attività di controllo diffuse a ogni segmento operativo e livello gerarchico;

 garantire che le anomalie riscontrate siano tempestivamente portate a conoscenza di livelli appropriati della Banca (agli Organi aziendali, se significative), in grado di attivare tempestivamente gli opportuni interventi correttivi;

 prevedere specifiche procedure per far fronte all’eventuale superamento di limiti operativi30.

37

2.3 Assetto organizzativo del Sistema dei Controlli Interni

2.3.1 Architettura del sistema

Il Sistema dei Controlli Interni è un sistema integrato svolto da una pluralità di componenti (strategia, struttura, risorse), caratterizzato da elementi di complementarietà nelle finalità perseguite, nelle caratteristiche di impianto e nelle regole di funzionamento.

Alla Banca spetta il compito di strutturare il sistema in applicazione del “principio di proporzionalità”, tenuto conto della dimensione e complessità operativa, della natura dell’attività svolta, nonché dei connessi profili di rischio ai quali la Banca è esposta. Il Sistema dei Controlli Interni della Banca, in termini generali, si articola sui seguenti livelli:

 Governo (Organi Aziendali): definisce, approva e verifica il Sistema dei Controlli Interni e di Gestione dei Rischi;

 Primo livello di controllo (Funzioni aziendali di business/operative/Management): identifica, valuta, gestisce e monitora i rischi di competenza in relazione ai quali individua e attua specifiche azioni di trattamento dirette ad assicurare il corretto svolgimento delle operazioni. E’ costituito dall’insieme delle attività di controllo che le singole unità operative svolgono sui propri processi al fine di assicurare il corretto svolgimento delle operazioni. Tali attività di controllo sono demandate alla responsabilità primaria del Management operativo e sono considerate parte integrante di ogni processo aziendale. Le strutture operative sono, quindi, le prime responsabili del processo di controllo interno e di gestione dei rischi;

 Secondo livello di controllo (Funzioni aziendali di controllo): monitora i rischi aziendali, propone le linee guida sui relativi sistemi di controllo e verifica l’adeguatezza degli stessi al fine di assicurare efficienza ed efficacia delle operazioni, adeguato controllo dei rischi, prudente conduzione del business, affidabilità delle informazioni, conformità a leggi, regolamenti e procedure interne;

38

 Terzo livello di controllo (Funzione di revisione interna): fornisce assurance indipendente sull’adeguatezza ed effettiva operatività del primo e secondo livello di controllo ed, in generale, sul complessivo Sistema dei Controlli Interni. Ha la finalità di valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità in termini di efficienza ed efficacia del sistema dei controlli interni, nonché di individuare violazioni delle procedure e delle norme applicabili alla Banca.

Di seguito si riporta una descrizione del complessivo assetto organizzativo del Sistema dei Controlli Interni, che si articola nel ruolo svolto dagli Organi Aziendali e dalle Funzioni aziendali di controllo, nonché nei compiti e nelle responsabilità attribuite alle diverse funzioni aziendali, in conformità alla normativa regolamentare di vigilanza.

2.3.2 Ruolo degli Organi Aziendali

La responsabilità primaria di assicurare la completezza, l’adeguatezza, la funzionalità e l’affidabilità del Sistema dei Controlli Interni delle banche è rimessa agli Organi Aziendali, ciascuno per le rispettive competenze.

L’organo di supervisione strategica, che nel modello tradizionale si identifica nel Consiglio di Amministrazione, ha un ruolo fondamentale per il conseguimento di un efficace ed efficiente sistema di gestione e controllo dei rischi. Infatti, “agli amministratori spetta il compito di deliberare le strategie e monitorarne la corretta attuazione; definire il livello di rischio che la banca può sopportare; assicurare che la banca sia in grado di identificare, gestire e monitorare i rischi; “sfidare” il management sulle modalità con le quali quest’ultimo attua strategie, politiche e scelte di rischio31

. A tale Organo è attribuita la responsabilità di verificare la sussistenza dei requisiti di professionalità, di onorabilità e di indipendenza degli Organi Aziendali, e di dichiarare la decadenza dalla carica nel caso di difetto dei requisiti.

Inoltre, all’interno dell’Organo con funzione di supervisione strategica, è possibile costituire comitati endoconsiliari con compiti istruttori, consultivi, propositivi, composti

31 _{C. BARBAGALLO, “Doveri e responsabilità degli amministratore delle banche: il punto di vista della}

Banca d’Italia”, intervento al Convegno ABI L’impresa bancaria: i doveri e le responsabilità degli

39

anche da consiglieri indipendenti, al fine di facilitare l’adozione di decisioni relativi a specifici settori ritenuti complessi o a quelli in cui si potrebbero verificare situazioni di conflitto di interessi32.

All’organo di gestione spettano, o sono delegati, compiti di gestione corrente, intesa come implementazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica.

L’organo di controllo vigila sull’adeguatezza del sistema di controllo e di gestione dei rischi, focalizzando l’attenzione sulle cause e sugli eventuali rimedi ad irregolarità gestionali, andamenti anomali, lacune degli assetti organizzativi e contabili, ma anche conflitti di interesse riscontrati durante l’attività di verifica.

E’ doveroso rammentare che tale tripartizione assume caratteri ben differenti in relazione al modello di corporate governance adottato dalla singola banca:

1. nel modello tradizionale italiano, il CdA svolge funzioni di supervisione strategica e di gestione (quest’ultima in genere attribuita a un Amministratore Delegato o a più amministratori esecutivi, nonché al Direttore generale), mentre il Collegio Sindacale svolge funzioni di controllo;

2. nel modello dualistico, la funzione di controllo è attribuita al Consiglio di sorveglianza che, se previsto dallo statuto, svolge anche compiti di supervisione strategica partecipando all’approvazione dei piani strategici, industriali e finanziari; in tal caso, il Consiglio di sorveglianza e il Consiglio di gestione conducono insieme l’attività di supervisione strategica, mentre quella di gestione resta una competenza esclusiva del consiglio di gestione;

3. nel modello monistico, il CdA svolge le funzioni di supervisione strategica e di gestione (quest’ultima riservata ai componenti esecutivi), mentre i compiti di controllo sono attribuiti al comitato per il controllo sulla gestione33.

32 _{Le banche di maggiori dimensioni e complessità operativa costituiscono il Comitato Rischi, il Comitato}

Nomine e il Comitato Remunerazione; alle banche di intermedie è richiesto di costituire almeno il Comitato Rischi; per le banche di minori dimensioni e minore complessità operativa non sussiste l’obbligo di costituire di costituire i comitati endoconsiliari.

33 _{G. GANDINI, Governo d'impresa e orientamento competitivo al mercato bancario, FrancoAngeli,}

40

2.3.3 Ruolo delle Funzioni aziendali di controllo

Dopo aver fornito le indicazioni minime riguardo il ruolo, i compiti e le responsabilità degli organi aziendali nell’ambito del sistema dei controlli interni, viene richiamata la tradizionale suddivisione tra:

1) controlli di primo livello, definiti anche controlli di linea, volti ad assicurare il corretto svolgimento delle operazioni ed effettuati dalle stesse strutture operative;

2) controlli di secondo livello, che spettano alle funzioni di risk management, compliance e antiriciclaggio;

3) controlli di terzo livello, che fanno capo all’internal audit.

Figura 4 – I livelli del Sistema dei Controlli Interni

La funzione aziendale di controllo sui rischi (risk management), variamente articolata in relazione ai profili di rischio, persegue il fine di assicurare la corretta attuazione del processo di gestione dei rischi.

La funzione di controllo sulla conformità (compliance) garantisce la conformità dell’operatività aziendale alle norme evitando di incorrere in sanzioni giuridiche o amministrative, perdite finanziarie rilevanti o danni reputazionali.

La funzione Antiriciclaggio è in grado di gestire i rischi di non conformità legislativa, vale a dire quelli che sono inerenti, a titolo esemplificativo, alla Privacy ovvero alla gestione della salute e della sicurezza sui luoghi di lavoro.

Alla funzione di revisione interna (internal audit) viene attribuita la responsabilità di identificare e monitorare possibili violazioni delle procedure e della regolamentazione,

41

nonché a valutare sistematicamente la completezza, l’adeguatezza, la funzionalità e l’affidabilità dei sistemi di controlli interni, tra cui anche risk management e

compliance, e del sistema informativo.

Tali funzioni aziendali di controllo devono essere indipendenti e a tal fine dispongono dell’autorità, delle risorse e delle competenze necessarie per lo svolgimento dei loro compiti. Inoltre, è previsto che il personale che partecipa alle funzioni di controllo non deve essere coinvolto nelle attività che le funzioni sono tenute a controllare ed i criteri di remunerazione non ne devono compromettere l’obiettività. I responsabili delle suddette funzioni sono nominati e revocati dall’organo di supervisione strategica, su parere dell’organo con funzioni di controllo e possono essere selezionati tra i componenti dell’organo amministrativo con specifiche deleghe in materia di controlli. Sotto il profilo organizzativo si evidenzia che, se coerente con il principio di proporzionalità, le banche possono affidare ad un’unica struttura lo svolgimento della funzione di conformità alle norme e della funzione di controllo rischi ovvero esternalizzarle34.

2.4 Meccanismi di funzionamento del Sistema dei Controlli Interni

2.4.1 Coordinamento delle funzioni aziendali di controllo

Ferma restando la reciproca indipendenza e i rispettivi ruoli delle Funzioni aziendali di controllo, è necessario definire i meccanismi di coordinamento e di collaborazione tra loro e con le altre funzioni aziendali al fine di consentire una visione integrata e trasversale dei risultati delle attività di verifica effettuate e la condivisione delle iniziative di miglioramento da adottare, in modo coerente con le strategie e l’operatività aziendale.

In altri termini, il messaggio che si cerca di trasmettere è quello della cooperazione interfunzionale ed interorganica: “non si tratta di una confusione di ruoli, ma una più

34 _{M. CAVANNA, E. FREGONARA, M. IRRERA, A. MONTEVERDE, G.A. POLICORO, I.}

POLLASTRO, M. SPIOTTA, Diritto del Governo delle imprese, G. Giappichelli Editore, Torino, 2016, pp. 521-522.

42

interessante contiguità e concorrenza virtuosa di competenze per formare un sistema policentrico”35

.

In particolare, in una logica di coordinamento delle rispettive autonome valutazioni nonché di condivisione degli interventi di mitigazione, le Funzioni di controllo potrebbero:

 verificare la presenza di ulteriori fonti informative a supporto della valutazione del sistema (a titolo esemplificativo: segnalazioni interne, indicazioni dirette da parte dell’Autorità di Vigilanza);

 identificare e condividere l’attivazione, se del caso, di specifiche indagini su fattori su cui si ritiene collegialmente necessario effettuare approfondimenti;

 identificare le modifiche organizzative e procedurali finalizzate ad assicurare adeguato presidio dei rischi identificati e monitorarne l’adozione.

2.4.2 Sistema di reporting verso gli Organi Aziendali

La Banca definisce e formalizza i criteri di produzione e trasmissione dei flussi informativi interni che le diverse Funzioni aziendali inviano periodicamente, o ad evento, per informativa e/o per approvazione, ai competenti Organi Aziendali al fine di:

 garantire la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF;

 assicurare la produzione di informazioni complete, tempestive e accurate che assicurino un’efficace ed effettiva azione di indirizzo e controllo da parte degli Organi Aziendali, nell’ambito delle attribuzioni e dei ruoli loro assegnati.

Al fine di garantire il corretto ed efficiente funzionamento degli Organi Aziendali e favorire una assunzione consapevole delle decisioni di indirizzo sia strategico che gestionale, le funzioni aziendali di controllo presentano agli Organi Aziendali:

35 _{E. DELLAROSA, R. RAZZANTE, Il nuovo Sistema dei Controlli Interni della Banca, FrancoAngeli,}

43

 una Relazione annuale dell’attività svolta che illustra le verifiche effettuate, i risultati emersi, gli aspetti critici rilevati e propone gli interventi da adottare per la loro rimozione.

 una valutazione in ordine alla completezza, adeguatezza, funzionalità e affidabilità del Sistema dei Controlli Interni, ciascuna per gli aspetti di rispettiva competenza.

In ogni caso, le Funzioni aziendali di controllo informano tempestivamente gli Organi Aziendali su ogni violazione, irregolarità o carenza rilevante riscontrate. Inoltre, in sede di pianificazione degli obiettivi di controllo e delle attività da svolgere nel corso dell’esercizio:

 la funzione di Internal Audit presenta annualmente agli Organi Aziendali un Piano di Audit, che indica le attività di controllo pianificate, tenuto conto dei rischi delle varie attività e strutture aziendali;

 la funzione di Controllo Rischi, la funzione di Conformità alle norme e la Funzione Antiriciclaggio presentano annualmente agli Organi Aziendali, ciascuna in base alle rispettive competenze, un programma di attività, in cui sono identificati e valutati i principali rischi a cui la Banca è esposta e sono programmati i relativi interventi di gestione. La programmazione degli interventi tiene conto sia delle eventuali carenze emerse nei controlli, sia di eventuali nuovi rischi identificati.

Al fine di garantire la corretta interazione tra le funzioni aziendali di controllo, in sede di redazione dei piani annuali vengono attuati meccanismi di coordinamento per massimizzare le sinergie ed evitare sovrapposizioni tra attività di controllo, favorendo la circolazione dei flussi informativi tra le funzioni di controllo.

Nel corso dell’anno, le stesse Funzioni aziendali di controllo, ciascuna per quanto di competenza, potrebbero essere tenute ad effettuare un reporting periodico (Tableau de Bord) sintetico ed efficace verso gli Organi Aziendali in merito all’evoluzione dei rischi aziendali e la relativa coerenza rispetto al RAF, all’adeguatezza dei presidi di controllo e all’avanzamento dei piani di azione.

44 2.5 Il Risk Appetite Framework

Il Risk Appetite Framework, introdotto nella normativa di vigilanza con il 15° aggiornamento della Circolare Banca d’Italia n. 263/2006, è un insieme organizzato e coordinato di processi e di policy che consentono alla banca di stabilire e monitorare la propria propensione all’assunzione di rischi. Si compone di tre parti36

: 1) Sezione di statement

 Rappresentazione del risk appetite aggregato;

 Rappresentazione del risk appetite per tipologia di rischio; 2) Sezione di strutturale

 Definizione della struttura dei limiti di rischio;

 Ipotesi previsionali; 3) Sezione organizzativa

 Ruoli e responsabilità degli Organi aziendali e delle funzioni di controllo: Organo con funzione di supervisione strategica e di gestione, Organo con funzione di controllo, Comitato Rischi, funzioni di Risk Management, di Compliance, di Internal Audit.

In ottemperanza al disposto normativo che prevede la definizione del Risk Appetite Framework e assumendo le definizioni dei concetti rilevanti ai fini della determinazione dello stesso, gli Organi aziendali definiscono le soglie di tolleranza e i limiti operativi, basandosi anche sul monitoraggio di indicatori specifici individuati. Il framework ha l’obiettivo di adeguare il profilo di rischio agli obiettivi definiti e consente di allineare la strategia d rischio alla pianificazione di business, al sistema di limiti e alla valutazione della performance.

I concetti rilevanti ai fini della determinazione del RAF sono i seguenti:

- risk capacity (massimo rischio assumibile): il livello massimo di rischio che una

banca è tecnicamente in grado di assumere senza violare i requisiti regolamentari o gli altri vincoli imposti dagli azionisti o dall’Autorità di vigilanza;

36 _{R. LIMENTANI, N. TRESOLDI, Controlli Interni Handbook, Il coordinamento e le attività delle}

45

- risk appetite (obiettivo di rischio o propensione al rischio): il livello di rischio

(complessivo e per tipologia) che la banca intende assumere per il perseguimento dei suoi obiettivi strategici;

- risk tolerance (soglia di tolleranza): la devianza massima dal risk appetite

consentita; la soglia di tolleranza è fissata in modo da assicurare in ogni caso alla banca margini sufficienti per operare, anche in condizioni di stress, entro il massimo rischio assumibile. Nel caso in cui sia consentita l’assunzione di rischio oltre l’obiettivo di rischio fissato, fermo restando il rispetto della soglia di tolleranza, sono individuate le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito;

- risk profile (rischio effettivo): il rischio effettivamente assunto, misurato in un

determinato istante temporale;

- risk limits (limiti di rischio): l’articolazione degli obiettivi di rischio in limiti

operativi, definiti, in linea con il principio di proporzionalità, per tipologie di rischio, unità e o linee di business, linee di prodotto, tipologie di clienti.

I principali indicatori in base ai quali viene definito il Risk Appetite Framework sono costituiti in particolare da37:

1) Controllo strategico

 Considera il mercato di riferimento, la situazione economico-finanziaria generale, il business della banca, il contesto normativo di riferimento;

2) Controllo gestionale

 Considera la coerenza del profilo patrimoniale della banca con il piano strategico;

3) Controllo operativo

 Considera il profilo di rischio della banca sia nel suo complesso che in relazione a specifici rischi assunti ovvero assumibili.

L’analisi da condurre si focalizza sui seguenti ambiti:

- misurazione della risk capacity della banca;

- definizione del risk appetite per tipologia di rischio;

37 _{R. LIMENTANI, N. TRESOLDI, Controlli Interni Handbook, Il coordinamento e le attività delle}

46

- definizione del risk appetite complessivo; - definizione delle soglie di tolleranza al rischio; - definizione degli stress test;

- definizione del processo di monitoraggio del rispetto dei limiti di rischio;

- definizione del processo di rientro o delle azioni da intraprendere in caso di

superamento delle soglie stabilite;

- definizione del modello di reporting.

La crisi finanziaria internazionale, avvenuta nel 2011, ha indotto la comunità degli enti regolatori a focalizzare l’attenzione e rafforzare le aspettative riguardo il Risk Appetite Framework quale strumento di governance atto ad indirizzare strategie di crescita razionali e consapevoli delle banche con l’obiettivo di garantire la stabilità del sistema finanziario38.

A partire dal 2014, le banche italiane sono state chiamate a declinare in modo operativo le indicazioni fornite dalle nuove Disposizioni di Vigilanza, qui di seguito richiamate:

- fissare ex ante gli obiettivi di rischio/rendimento ed i conseguenti limiti

operativi;

- definire i meccanismi di coerenza e raccordo tra modello di business, piano

strategico, RAF, ICAAP, Recovery Plan, Budget, organizzazione aziendale e sistema dei controlli interni;

- definire, per ogni rischio materiale che la banca intende assumere, l’appetito di

rischio, eventuali soglie di tolleranza e limiti operativi, tenendo anche conto dei risultati delle prove di stress;

- definire le procedure e gli interventi gestionali da attivare nel caso in cui sia

necessario ricondurre il livello di rischio entro l’obiettivo o i limiti prestabiliti;

- definire i compiti degli organi e di tutte le funzioni aziendali coinvolte nella

definizione del processo.

Nel triennio 2014-2016, le banche italiane hanno intensificato l’attenzione sulla progettazione e sul consolidamento dei propri RAF identificando le più appropriate soluzioni organizzative e metodologiche: in particolare, le banche hanno dato priorità agli interventi atti a stabilire un sempre maggiore allineamento tra RAF e pianificazione

38 _{Il ruolo del RAF nella governance delle banche, Position Paper, n. 09, Aprile 2017, pp. 4-6, in}

47

strategica. Nonostante i progressi compiuti, rimane da investigare il grado di maturità raggiunto nella definizione del Risk Appetite Framework dal sistema bancario italiano, in particolare in riferimento alle complesse sfide gestionali dell’attuale contesto competitivo.

2.5.1 Responsabilità degli Organi aziendali e delle funzioni aziendali di controllo in rapporto al RAF

Il RAF puntualizza i compiti degli Organi e di tutte le funzioni aziendali interessate alla definizione del processo, con il ruolo centrale, in particolare, di quelli di supervisione strategica e di gestione, sui quali ricade la responsabilità primaria della definizione di un sistema dei controlli interni che risponda ai requisiti previsti dalle nuove Disposizioni di vigilanza e disegni il quadro di riferimento per la determinazione del RAF39.

L’organo con funzione di supervisione strategica ha le seguenti responsabilità:

- assicurare che l’attuazione del RAF sia coerente con gli obiettivi di rischio e la

soglia di tolleranza (ove identificata) approvati;

- valutare periodicamente l’adeguatezza e l’efficacia del RAF e la compatibilità

tra il rischio effettivo e gli obiettivi di rischio;

- valutare la coerenza tra il piano strategico, il RAF, l’ICAAP, i budget e il

sistema dei controlli interni, considerando anche l’evoluzione delle condizioni interne ed esterne in cui opera la banca;

- con riferimento al processo ICAAP, definisce e approva le linee generali del

processo, ne assicura la coerenza con il RAF e l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento;

- promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle

decisioni d’impresa.

39 _{C. DITTMEIER, La governance dei rischi. Un riferimento per gli organi e le funzioni di governo e di}

48 L’organo con funzioni di gestione deve:

- curare l’attuazione degli indirizzi strategici, del RAF e delle politiche di governo

dei rischi definiti dall’organo con funzione di supervisione strategica;

- definire i flussi informativi interni volti ad assicurare agli organi aziendali e alle

funzioni aziendali di controllo la piena conoscenza e governabilità dei fattori di rischio e la verifica del rispetto del RAF;

- se è stata definita la soglia di tolleranza, autorizzare, nell’ambito del RAF, il

superamento della propensione al rischio entro il limite rappresentato dalla stessa e provvedere a darne pronta informativa all’organo con funzione di supervisione strategica, individuando le azioni gestionali necessarie per ricondurre il rischio assunto entro l’obiettivo prestabilito;

- dare attuazione al processo ICAAP, curando che lo stesso sia rispondente agli

indirizzi strategici e al RAF.

L’organo con funzione di controllo ha la responsabilità di vigilare sulla completezza, l’adeguatezza, la funzionalità e l’affidabilità del sistema dei controlli interni e del RAF. I requisiti specifici delle funzioni aziendali di controllo sono costituiti dalla funzione di controllo dei rischi (risk management function) e dalla funzione di re visione interna (internal audit). La funzione di controllo dei rischi ha la finalità di:

- collaborare alla definizione e all’attuazione del RAF e delle relative politiche di

governo dei rischi, attraverso un adeguato processo di gestione dei rischi; in tale ambito, ha, tra l’altro, il compito di proporre i parametri quantitativi e qualitativi necessari per la definizione del RAF, che fanno riferimento anche a scenari di stress e, in caso di modifiche del contesto operativo interno ed esterno della banca, l’adeguamento di tali parametri;

- verificare l’adeguatezza del RAF;

- definire metriche comuni di valutazione dei rischi operativi coerenti con il RAF,

coordinandosi con la funzione di conformità alle norme, con la funzione ICT e con la funzione di continuità operativa;

- dare pareri preventivi sulla coerenza con il RAF delle operazioni di maggiore

rilievo eventualmente acquisendo, in funzione della natura dell’operazione, il parere di altre funzioni coinvolte nel processo di gestione dei rischi.

49

La funzione di revisione interna è volta, da un lato, a controllare, in un’ottica di controlli di terzo livello, anche con verifiche in loco, il regolare andamento dell’operatività e l’evoluzione dei rischi, e, dall’altro, a valutare la completezza, l’adeguatezza, la funzionalità e l’affidabilità della struttura organizzativa e delle altre componenti del sistema dei controlli interni, portando all’attenzione degli organi aziendali i possibili miglioramenti, con particolare riferimento al RAF, al processo di gestione dei rischi nonché agli strumenti di misurazione e controllo degli stessi. Più precisamente, la funzione di revisione interna valuta:

- l’efficacia del processo di definizione del RAF, la coerenza interna dello schema

complessivo e la conformità dell’operatività aziendale al RAF e, in caso di strutture finanziarie particolarmente complesse, la conformità di queste alle strategie approvate dagli organi aziendali;

- l’efficacia dei poteri della funzione di controllo dei rischi nel fornire pareri