• Non ci sono risultati.

CAPITOLO 3: L'INTERNAL AUDIT IN AMBITO BANCARIO: LE ISTRUZIONI DI VIGILANZA E LA NORMATIVA SULLA COMPLIANCE

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "CAPITOLO 3: L'INTERNAL AUDIT IN AMBITO BANCARIO: LE ISTRUZIONI DI VIGILANZA E LA NORMATIVA SULLA COMPLIANCE"

Copied!
21
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 21 pagine )

Testo completo

(1)

CAPITOLO 3: L'INTERNAL AUDIT IN AMBITO BANCARIO: LE ISTRUZIONI DI VIGILANZA E LA NORMATIVA SULLA

COMPLIANCE

3.1 Introduzione

Vogliamo in questo capitolo illustrare gli aspetti normativi, in particolare quelli che riguardano:

• La Funzione di Compliance;

• Le Istruzioni di Vigilanza della Banca d'Italia.

Per quanto riguarda il primo aspetto, andremo ad analizzarne il significato e l'approccio normativo, per poi descrivere la differenza che intercorre tra Funzione di Compliance e Internal Audit, come da documento redatto dall'Associazione Italiana Internal Auditors e dell’Associazione Italiana Compliance dal titolo “Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza”.

Per quanto riguarda le Istruzioni di Vigilanza, esse raccolgono in un'unica disciplina le disposizioni emanate dalla Banca d'Italia in materia di vigilanza, di cui noi, di concerto con il tema del presente lavoro, illustreremo la parte relativa alle disposizioni sul sistema di controllo interno.

3.2 La Funzione di Compliance

La Compliance è un'attività che vuole individuare, supportare, controllare e riferire in merito al rischio di sanzioni legali o amministrative, perdite operative e deterioramento della reputazione aziendale per il mancato rispetto di leggi, regolamenti, procedure e codici di condotta e Best Practices. E' un'attività preventiva, che vuole anche suggerire soluzioni: la Compliance serve quindi a prevenire il rischio di non conformità a leggi e regolamenti, ed in questo modo

(2)

contribuisce al miglioramento del rapporto di fiducia instaurato con la clientela, e, in maniera più ampia con tutti gli stakeholders.

Si rivolge in modo particolare al mondo bancario e finanziario, per il quale la Banca d’Italia il 12 luglio 2007 ha emanato le Disposizioni di Vigilanza per le Banche in materia di conformità alla norme, la cosiddetta Compliance. La Banca d’Italia nella sua "Relazione al Parlamento e al Governo” del giugno 2007 spiega che con il termine "rischio di compliance nelle banche" si intende "il rischio di incorrere in sanzioni, perdite finanziarie o danni di reputazione in conseguenza di violazioni di norme legislative, regolamentari o di autoregolamentazione".

In linea con gli orientamenti emersi in sede internazionale, le Istruzioni:

• definiscono ruoli e responsabilità degli organi di vertice delle banche in materia;

• richiedono la costituzione di una funzione di Compliance quale elemento integrante del sistema dei controlli interni;

• assegnano a tale funzione il presidio e la gestione del rischio di incorrere in sanzioni giudiziarie o amministrative, perdite finanziarie rilevanti o danni reputazionali in conseguenza di violazioni di norme imperative o di autoregolamentazione (rischio di compliance).

Le disposizioni di vigilanza, in attuazione del principio di proporzionalità, recano previsioni particolari per l’articolazione della funzione all’interno dei gruppi bancari e nelle realtà aziendali minori.

La funzione di Compliance è chiamata a svolgere un ruolo complementare rispetto al sistema di gestione dei rischi previsto dalla nuova regolamentazione prudenziale essendo rivolta, soprattutto in un’ottica preventiva, a presidiare rischi di carattere legale e reputazionale.

Basilea II e la direttiva MiFid, seppur con obiettivi diversi, l'una di tenere sotto controllo i rischi che corrono gli intermediari, l'altra di proteggere gli investitori, pongono l'accento sulla necessità della costituzione di una funzione di Compliance in banca, incaricata di verificare che in tutti i settori esistano meccanismi che assicurino il rispetto di norme e regolamenti, con particolare accento su quelli relativi ai rapporti con la clientela. Andiamo adesso ad

(3)

analizzare le omogeneità e le differenze che riscontriamo nel modo in cui le due discipline descrivono i requisiti della funzione.

A tal proposito, scrive Giovanni Carosio, Vice Direttore Generale della Banca d’Italia: "La derogabilità al requisito di separatezza organizzativa tra funzioni di controllo è applicata in maniera diversa: nella disciplina bancaria ha centralità la funzione di gestione dei rischi, in cui può essere allocata anche la funzione di compliance; la disciplina sui servizi di investimento richiede che sia sempre presente la funzione di conformità, potendosi derogare alla presenza di altre funzioni di controllo indipendenti. Diverso è, naturalmente, il perimetro di riferimento della compliance. Nella disciplina della MiFID, esso è limitato alle norme rilevanti per lo svolgimento dei servizi e delle attività di investimento. Nella disciplina prudenziale, il perimetro di riferimento è più ampio; limitandosi alle principali norme di eteroregolamentazione, esso comprende, oltre alle regole relative alla prestazione dei servizi di investimento, anche le norme sullo svolgimento delle operazioni e dei servizi bancari e di pagamento, la disciplina di vigilanza prudenziale, l’azione di prevenzione e contrasto del riciclaggio e dell’usura. Nel complesso, la regolamentazione prudenziale sulla funzione di compliance nelle banche appare pienamente compatibile con quella volta ad assicurare la correttezza e la trasparenza dei comportamenti nella prestazione dei servizi di investimento agli investitori e al mercato. Conseguentemente, non sembrano esserci ostacoli a che i profili di conformità afferenti a entrambi gli ambiti regolamentari siano gestiti dalla stessa funzione. L’omogeneità sostanziale delle due discipline eviterà di appesantire gli oneri di adeguamento nelle banche che svolgono servizi di investimento, contribuendo all’efficacia complessiva dei presidi di compliance."1

Per quanto riguarda le omogeneità, possiamo aggiungere che entrambe le discipline dichiarano la necessità di costituire una funzione dedicata e permanente, che goda dei requisiti di indipendenza e qualificazione presupponendo quindi l'autonomia del responsabile, il riporto diretto agli organi aziendali, l'assegnazione alla funzione di autorità, di risorse e competenze 1"La Funzione di Compliance tra Basilea II e MiFID", 21 settembre 2007, pag. 5 e 6

(4)

adeguate, la necessità di separare le attività di controllo della conformità dalle attività oggetto del controllo stesso. Per quanto riguarda l'organizzazione della funzione, occorre far riferimento al principio di proporzionalità, secondo cui la complessità delle soluzioni organizzative deve riflettere dimensioni e tipo dell'attività dell'intermediario.

3.2.1 Internal Auditing e Compliance: “Le funzioni di Internal Audit e di

Compliance: ruoli responsabilità e ambiti di rispettiva competenza”

Vogliamo a questo punto illustrare le differenze di ruolo tra Internal Auditing e Compliance. A tal proposito ad Aprile 2008 un gruppo di studio congiunto dell’Associazione Italiana Internal Auditors e dell’Associazione Italiana Compliance ha redatto un documento dal titolo “Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza”, che, con riferimento al settore finanziario, vuole di chiarire le responsabilità e gli ambiti operativi delle Funzioni di Compliance e di Internal Audit. L’introduzione nel settore finanziario della Funzione di Compliance (o Funzione di Conformità, come viene definita dalle Disposizioni di Vigilanza di Banca d’Italia del 10 luglio 2007) rende infatti necessario riconsiderare l’organizzazione del sistema dei controlli interni, e valutare le integrazioni di tale funzione con la funzione di Internal Audit. La distinzione di ruoli tra Internal Audit e Compliance viene tracciata ricordando le loro diverse finalità, “con la Funzione di Compliance focalizzata sul rispetto della normativa e l’Internal Audit sul monitoraggio del complessivo Sistema dei controlli Interni” (2).

Partendo da questa premessa, il documento approfondisce ruoli e responsabilità delle Funzioni di Compliance e di Internal Audit nel settore finanziario, distinguendo tra attività svolte in ambito di consulenza e attività svolte nell’ambito dei servizi di assurance.

2 Le funzioni di Internal Audit e di Compliance: ruoli responsabilità e ambiti di rispettiva competenza , AiiA-Aicom, aprile 2008, pag. 5

(5)

Attività di consulenza

“L’Internal Audit finalizza la propria attività di Consulenza prevalentemente sulla proposta di soluzioni idonee a garantire il superamento dei punti di debolezza del Sistema dei Controlli Interni. La sua attività si esplica sia nel momento in cui emergono disallineamenti tra il Sistema dei Controlli Interni e il modello di business e di governo adottato dall’azienda, sia nella fase di impianto/revisione di processi e procedure, con l’obiettivo di garantire coerenza e linearità all’intero impianto dei controlli a presidio dei rischi”(3).

“Nel caso della Funzione di Compliance, l’oggetto dell’attività di Consulenza, riguardando la rispondenza dei processi ai dettami normativi, ai principi e ai valori promossi dall’azienda, è rappresentato dalla legittimità stessa delle procedure aziendali”(4).

Attività di assurance

Assurance – assetto organizzativo

“L’Audit valuta l’adeguatezza dell’assetto organizzativo relativamente ai requisiti previsti per il ‘buon funzionamento’ della azienda” (5).

“La Funzione di Compliance ne verifica la conformità alla normativa di riferimento, con l’obiettivo, in particolare, di presidiare il conflitto di interessi eventualmente emergente nei compiti attribuiti alle singole unità organizzative” (6).

Assurance – sistema delle deleghe e dei poteri

L’Internal Audit valuta la corrispondenza del sistema delle deleghe e poteri “a quanto statuito dalle specifiche delibere del Consiglio di Amministrazione ovvero dalle direttive della Capogruppo e verifica che la distribuzione dei ruoli e delle responsabilità non determini duplicazioni, sovrapposizioni od omissioni di

3 op. cit. p. 18 4 op. cit. , p. 19 5 op. cit., p. 21 6 op. cit., p. 21

(6)

compiti” (7).

La Funzione di Compliance deve “valutare che l’allocazione delle deleghe e dei poteri garantisca l’esercizio delle responsabilità attribuite dalle normative di riferimento a specifici soggetti/funzioni aziendali nonché un idoneo presidio dei conflitti di interesse, sia riferiti alle risorse all’interno delle diverse unità organizzative, sia in relazione ai singoli esponenti aziendali” (8).

Assurance – sistema dei controlli interni

La Funzione di Internal Audit “analizza l’adeguatezza del sistema stesso, relazionando periodicamente all’Alta Direzione e agli Organi Societari sugli esiti delle attività svolte e proponendo soluzioni di miglioramento; a tal fine provvede a valutare il funzionamento di tutti gli attori del Sistema dei Controlli Interni, tra cui la Funzione di Compliance” (9).

La Funzione di Compliance “ha in primo luogo il compito di effettuare e aggiornare periodicamente la mappatura dei rischi di non conformità e reputazionali emergenti dai processi/prodotti, con stretto riferimento all’evoluzione del modello di business aziendale, all’introduzione di nuove normative e all’aggiornamento di quelle vigenti, nonché all’adozione di norme di autoregolamentazione e di codici di condotta” (10).

Assurance – modelli di gestione del rischio

“L’attività di Assurance dell’Internal Audit si focalizza su tutti i modelli di gestione del rischio adottati dall’azienda allo scopo di verificarne il corretto ed efficace funzionamento ivi incluso quello di Compliance, con lo scopo di assicurare che quanto adottato consenta al management un’efficace gestione dei rischi” (11).

“la Funzione di Compliance progetta e provvede all’aggiornamento” del modello di gestione del rischio “relativo ai rischi di non conformità e reputazionali, adottato coerentemente con le strategie e l’operatività aziendale. La Funzione di Compliance valuta, inoltre, l’aderenza alla normativa, anche degli altri modelli di 7 op. cit., p. 22

8 op. cit., p. 23 9 op. cit., p. 23 10 op. cit., p. 23 11 op. cit., p. 24

(7)

gestione dei rischi adottati dalla società” (12). Assurance - processi

“L’attività di Assurance svolta dall’Internal Audit è sistematicamente rivolta al miglioramento dell’efficacia e dell’efficienza dell’organizzazione attraverso la valutazione dei processi aziendali. Obiettivo dell’attività di Internal Audit è fornire al management una valutazione di affidabilità sul Sistema di Controllo” (13).

“La Funzione di Compliance identifica costantemente le norme applicabili, ne valuta la loro integrazione nei processi e procedure aziendali, garantendone la corretta applicazione e valutandone l’impatto. La Funzione di Compliance svolge tale attività di Assurance nel continuo” (14).

Assurance – procedure aziendali

“l’Internal Audit svolge un ruolo attivo nelle fasi di disegno delle procedure aziendali, fornendo expertise nell’applicazione dei principi di controllo e nell’analisi dei processi e dei rischi. Inoltre, a seguito di interventi di verifica, la funzione può raccomandare azioni di miglioramento sui presidi di controllo formalizzati nelle procedure aziendali” (15).

La Funzione di Compliance “garantisce che le procedure organizzative contengano i presidi necessari a prevenire la violazione di norme di eteroregolamentazione ed autoregolamentazione” (16).

Assurance – sistemi aziendali di reporting e informativa

La Funzione di Internal Audit valuta “il livello di adeguatezza dei sistemi informativi aziendali e l’affidabilità delle informazioni disponibili rispetto alla complessità del contesto operativo, alla dimensione e all’articolazione territoriale dell’impresa” e “verifica l’adeguatezza dei presidi organizzativi adottati dalla società per la sicurezza fisica, logica e organizzativa del sistema informativo aziendale” (17).

La Funzione di Compliance valuta “la conformità del reporting e dell’informativa 12 op. cit., p. 24 13 op. cit., p. 24 14 op. cit., p. 25 15 op. cit., p. 25 16 op. cit., p. 25 17 op. cit., p. 26

(8)

aziendale con riferimento alla sua idoneità a rispondere ai requisiti normativi vigenti o alle disposizioni interne stabilite dall’azienda, anche in termini di contenuti e tempistica”, “identifica le norme applicabili alla società e si assicura del corretto recepimento delle stesse nelle procedure aziendali di reporting e di produzione dell’informativa”(18).

Assurance – attività di controllo e di verifica

La Funzione di Internal Audit esplica le proprie attività di verifica “mediante specifici interventi sul sistema dei controlli, mirati a valutare la rischiosità intrinseca di particolari aree di attività” (19).

La Funzione di Compliance “è chiamata a svolgere attività di monitoraggio nel continuo sui presidi esistenti nei processi e nelle procedure di mitigazione dei rischi di non conformità e reputazionali” (20).

3.3 Le Istruzioni di Vigilanza per le Banche

3.3.1 Introduzione

La normativa principale per quanto riguarda le banche italiane è rappresentata dalla Circolare 229/1999, intitolata “Istruzioni di Vigilanza per le Banche”, ormai giunta al tredicesimo aggiornamento, del 10 Aprile 2007. La Banca d'Italia ha infatti ricevuto dallo stesso ordinamento funzione di Vigilanza sul sistema bancario, che avviene attraverso la predisposizione di regolamenti e di istruzioni e attraverso la formulazione di proposte al CICR (Comitato Interministeriale per il Credito e il Risparmio), organo che ha l’alta vigilanza in materia di credito e di tutela del risparmio ed emana con delibere — nei casi previsti dalla legge — direttive di carattere generale. Alla Banca d'Italia competono inoltre l'emanazione di provvedimenti di carattere particolare e altri atti amministrativi, con cui viene svolta la concreta attività di controllo nei confronti dei singoli operatori, oltre a periodiche visite ispettive.

18 op. cit., p. 26 19 op. cit., p. 27 20 op. cit., p. 27

(9)

Con il termine Vigilanza, si intendono “le diverse azioni volte a sollecitare l'impegno dei responsabili dei soggetti vigilati a risanare le gestioni aziendali problematiche, a prevenire i deterioramenti tecnici, a garantire il rispetto della normativa bancaria”21. L'intensità degli interventi dipende dalla gravità delle anomalie o delle irregolarità rilevate e dalla capacità dimostrata di porre in essere le azioni correttive necessarie. L'attività di supervisione si fonda anche sugli accertamenti ispettivi, e si conclude con la stesura di un documento che sarà la base per gli interventi successivi.

La stesura delle Istruzioni si è resa necessaria per raccogliere in un unica disciplina l'insieme delle disposizioni di vigilanza emanate dalla Banca d'Italia, ed è soggetta a continui aggiornamenti che derivano da cambiamenti nel quadro ambientale, dall'esperienza nei controlli, degli orientamenti maturati nelle sedi internazionali competenti in materia bancaria, finanziaria e assicurativa.

Le disposizioni hanno contenuti diversificati riguardo ai destinatari e alle materie: la maggior parte si rivolge alla generalità delle banche e ai gruppi bancari, poi vi sono specifiche disposizioni per l'operatività delle banche di credito cooperativo e delle banche estere, nonché alcune regole rivolte anche a soggetti non sottoposti a vigilanza. Le materie trattate riguardano le modalità di ingresso nel mercato (Titolo I), gli assetti proprietari, i requisiti degli esponenti bancari e la struttura territoriale (Titoli II e III), l'operatività (Titolo V), la vigilanza regolamentare, informativa e ispettiva (Titoli IV e VI), le sanzioni e le crisi (Titolo VIII), la trasparenza delle condizioni contrattuali (Titolo X), più le già citate disposizioni per banche di credito cooperativo, banche estere e soggetti non sottoposti a vigilanza.

Per la natura degli obiettivi del presente lavoro ci concentreremo sulla disciplina dei controlli interni, contenuta nel Titolo IV.

3.3.2 Il Titolo IV delle Istruzioni di Vigilanza per le Banche

Il buon funzionamento del sistema dei controlli interni è necessario affinché 21 Istruzioni di Vigilanza per le Banche, Circolare 229/1999

(10)

siano garantiti la sana e prudente gestione, la competitività della banca e la sua stabilità, nel medio e nel lungo periodo. Le Autorità di vigilanza avvertono, quindi, l’esigenza di affiancare agli strumenti quantitativi indicazioni sulla la definizione nelle banche di un sistema dei controlli interni efficiente ed efficace. Nell’ambito dei meccanismi di controllo delle società, nel nostro ordinamento il collegio sindacale ha un ruolo talmente importante che l’art. 52 del T.U. ne prevede un collegamento con l'attività di vigilanza: il collegio sindacale deve infatti comunicare tempestivamente alla Banca d’Italia eventuali accadimenti che possano costituire irregolarità nella gestione delle banche ovvero violazioni delle norme che ne disciplinano l’attività. Il T.U ha inoltre affidato alla Banca d'Italia, in conformità con le delibere del CICR, il compito di emanare istruzioni sulla struttura amministrativa e contabile e sui controlli interni delle banche e dei gruppi bancari (artt. 53 e 67).

Nel Titolo IV la sezione II sancisce criteri e raccomandazioni riguardanti: • sistema dei controlli interni;

• gestione dei rischi;

ruolo della funzione di revisione interna (internal audit); • sistemi informativi;

• controlli sulle succursali all’estero.

Andremo ad illustrare anche la sezione III che riguarda i compiti della capogruppo in materia di controlli interni al gruppo bancario e la sezione IV,dove sono indicati gli adempimenti del collegio sindacale e gli obblighi informativi dello stesso e della società di revisione nei confronti della Banca d’Italia.

3.3.3 La Sezione II: il sistema dei controlli interni

La sezione II affronta la tematica del Sistema dei controlli interni, innanzitutto definendolo come “l'insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità: efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.); salvaguardia del valore

(11)

delle attività e protezione dalle perdite; affidabilità e integrità delle informazioni contabili e gestionali; conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne.”22 Le istruzioni di Vigilanza articolano il sistema dei controlli su tre livelli:

• i controlli di linea : sono effettuati dalle strutture produttive, eseguite in back office oppure dalle stesse procedure, e sono volti ad assicurare il corretto svolgimento delle operazioni;

• i controlli sulla gestione dei rischi : sono svolti da strutture diverse da quelle produttive, e hanno l'obiettivo di analizzare i rischi presenti, il modo in cui vengono gestiti e misurati, e di controllare che le varie attività rientrino nei parametri rischio-rendimento prefissati;

• l'attività di revisione interna : si tratta dell'attività di internal auditing, svolta da unità indipendenti, volta ad individuare andamenti anomali o violazioni delle procedure, e a valutare periodicamente la funzionalità del complessivo sistema dei controlli interni.

Le banche possono organizzare in completa autonomia l'assetto dei controlli interni, ma ci sono dei principi base da rispettare: funzioni operative e di controllo devono essere separate in modo da evitare il sorgere di conflitti di interesse; devono essere stabilite attività di controllo ad ogni livello, definendo compiti e responsabilità; la soluzione adottata deve essere in grado di identificare e monitorare i rischi adeguatamente; devono essere assicurati sistemi informativi affidabili e sistemi di reporting; ogni anomalia deve essere tempestivamente comunicata all'organo appropriato, in modo che ne sia possibile la gestione; ogni fatto o operazione deve poter essere registrato con adeguato grado di dettaglio. Il sistema dei controlli interni deve essere periodicamente rivisto, per controllare se, in riferimento all'organizzazione e al contesto, risulta sempre adeguato.

In questo primo paragrafo della Sezione II si sottolinea anche l’importanza rivestita dal Consiglio di amministrazione e dall’Alta direzione nel sistema dei 22 Op. Cit. Titolo IV Sez. II, pag 4

(12)

controlli interni. Per quanto riguarda il primo organo citato, si evidenzia il suo ruolo nella promozione di una cultura aziendale orientata al controllo, coinvolgendo la struttura organizzativa su obiettivi e politiche relative e nella supervisione della definizione di obiettivi strategici e politiche di gestione del rischio. Il Consiglio di Amministrazione inoltre approva la struttura organizzativa della banca monitorando i meccanismi di deleghe e responsabilità e revisionandoli se necessario, si assicura che l’alta direzione definisca un sistema dei controlli che sia coerente con la propensione al rischio prescelta e dotato di un’autonomia organizzativa e di risorse adeguate all’espletamento dei suoi compiti, e verifica periodicamente efficacia ed efficienza di tale sistema.

L’Alta Direzione si occupa invece della predisposizione del sistema dei controlli interni, della definizione delle relative politiche, procedure e compiti delle varie unità operative addette, e della valutazione periodica della sua efficacia ed efficienza. Inoltre individua e valuta periodicamente i fattori dai quali possono derivare rischi, e stabilisce canali di comunicazione efficaci per tutto il personale, con particolare attenzione alle necessità di continuo aggiornamento del Consiglio di amministrazione.

Tali regole forniscono ovviamente solo un quadro di riferimento minimale: le istruzioni di Vigilanza chiariscono che ogni banca deve adattare tali disposizioni alla propria realtà, caratterizzata da peculiari dimensioni, complessità e specificità operative.

3.3.3.1 La Sezione II: la gestione dei rischi

Le politiche di assunzione dei rischi definite dalle banche devono essere approvate dal Consiglio di amministrazione. Il sistema dei controlli interni deve coprire tutte le tipologie di rischio individuate, in particolare per quanto riguarda i rischi quantificabili, essi devono essere identificati, misurati e monitorati, in modo da gestire l’esposizione complessiva e da tenere in evidenza eventuali anomalie, sintomo di possibili inefficienze nel sistema stesso.

(13)

un’autonoma struttura, indipendente dall’unità di gestione operativa dei rischi: in tal caso si dovranno definire le responsabilità e le modalità di intervento.

Ogni qualvolta le banche valutino opportunità di ingresso in nuovi mercati o settori operativi e di lancio di nuovi prodotti, si dovrà procedere preventivamente all’individuazione dei rischi e alla definizione di procedure di controllo adeguate, da sottoporre all’approvazione del Consiglio di amministrazione.

Le Istruzioni delineano linee guida per far fronte alle principali tipologie di rischio.

Per quanto riguarda il rischio di credito, si evidenzia il ruolo del consiglio di amministrazione, quale organo responsabile dell'approvazione delle metodologie di misurazione dello stesso e delle tecniche di controllo andamentale definite dall'alta direzione. Il consiglio amministrazione inoltre delibera le deleghe in materia di erogazione del credito, nonché i criteri di gestione, valutazione e classificazione dei crediti anomali. È indispensabile che le banche abbiano in ogni momento una corretta percezione della propria esposizione nei confronti di ogni cliente, pertanto la base informativa deve essere costantemente aggiornata, in modo da consentire un continuo monitoraggio e valutazione dell'esposizione al rischio di credito da parte del sistema dei controlli.

Per quanto riguarda il rischio di tasso di interesse e di mercato, si dovranno identificare chiaramente i soggetti responsabili e definire sistemi di misurazione del rischio coerenti col grado di complessità dell'operatività aziendale e sistemi informativi che ne consentano il monitoraggio e la tempestiva segnalazione al consiglio di amministrazione.

Per quanto riguarda altri rischi, le istruzioni accennano a:

• Rischio operativo: riconducibile a inefficienze nelle procedure, controlli inadeguati, errori umani e tecnici, eventi imprevisti. Particolare attenzione va posta ai rischi operativi connessi con l’utilizzo di tecnologie che consentono il contatto a distanza con la clientela.

(14)

banche devono definire procedure volte ad assicurare la corretta misurazione e il controllo dell’esposizione in relazione alla durata della stessa, compresa tra il momento in cui l’ordine di pagamento emesso diviene irrevocabile e quello in cui la ricezione dei fondi dalla controparte è verificata.

• Rischio di frode e infedeltà dei dipendenti: le banche devono definire procedure volte a prevenire il manifestarsi di eventi fraudolenti, cercando di limitare possibili situazioni di conflitto tra fini individuali e interessi della banca.

• Rischio legale: in particolare nello svolgimento di attività non tradizionali e con soggetti non residenti

Le Istruzioni intendono porre l'accento anche sull'importanza del rischio di

reputazione. Da questo punto di vista è fondamentale l'attenzione al cliente,

infatti le banche devono:

• sviluppare una cultura aziendale improntata all’assistenza al cliente;

• provvedere ad assicurare l’informazione alla clientela sull’eventuale adesione al “Codice di comportamento del settore bancario e finanziario” predisposto dall’Associazione Bancaria Italiana;

• dare adeguata pubblicità all’eventuale adesione all’”Accordo per la costituzione dell’Ufficio reclami della clientela e dell’Ombudsman bancario”;

• assicurarsi che il personale a contatto diretto con il pubblico sia a conoscenza delle procedure di reclamo interne alla banca e sia in grado di indirizzare correttamente la clientela nell’utilizzo di tali servizi, fornendo adeguate informazioni.

Particolari cautele devono inoltre essere prese nello svolgimento di servizi di investimento, per i quali rimandiamo alle disposizioni contenute nel Titolo II, Capitolo 2, paragrafo 4, delle Istruzioni di vigilanza per gli Intermediari del Mercato

(15)

Mobiliare.

3.3.3.2 Sezione II: Attività di revisione interna

In questo paragrafo le Istruzioni sanciscono l'obbligatorietà per le banche di istituire una funzione di Internal Audit, che abbia il duplice scopo di

• controllare, anche con verifiche in loco, la regolarità dell’operatività e l’andamento dei rischi;

• valutare la funzionalità del complessivo sistema dei controlli interni. In tale ambito, la funzione di revisione interna tra l’altro:

• verifica il rispetto nei diversi settori operativi dei limiti previsti dai meccanismi di delega nonché del pieno e corretto utilizzo delle informazioni disponibili nelle diverse attività;

• controlla l’affidabilità dei sistemi informativi, inclusi i sistemi di elaborazione automatica dei dati, e dei sistemi di rilevazione contabile; • verifica che nella prestazione dei servizi di investimento le procedure

adottate assicurino il rispetto, in particolare, delle disposizioni vigenti in materia di separatezza amministrativa e contabile, di separazione patrimoniale dei beni della clientela e delle regole di comportamento; • effettua test periodici sul funzionamento delle procedure operative e di

controllo interno;

• espleta compiti d’accertamento anche con riguardo a specifiche irregolarità, ove richiesto dal consiglio di amministrazione, dall’alta direzione o dal collegio sindacale;

• verifica la rimozione delle anomalie riscontrate nell’operatività e nel funzionamento dei controlli.

I compiti e le responsabilità dell’internal audit sono definiti dall’alta direzione, nel rispetto dei principi delineati nel presente paragrafo, e tengono conto delle caratteristiche del complessivo apparato dei controlli, delle dimensioni, della rete

(16)

territoriale, delle specificità operative della banca. La regolamentazione dell’attività dell’internal audit è approvata dal consiglio di amministrazione. È comunque necessario che l’internal audit non dipenda gerarchicamente da alcun responsabile di aree operative e sia dotato di personale qualitativamente e quantitativamente adeguato ai compiti da svolgere; dovrà inoltre avere accesso a tutte le attività della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche. In caso di attribuzione a soggetti terzi di attività rilevanti per il funzionamento del sistema dei controlli interni (ad esempio, dell’attività di elaborazione dei dati), l’internal audit deve poter accedere anche alle attività svolte da tali soggetti.

Il responsabile dell’internal audit dovrà regolarmente informare il consiglio di amministrazione, il collegio sindacale e l’alta direzione dell’attività svolta e dei risultati di questa.

Nelle banche di dimensioni contenute, la limitata complessità operativa può rendere eccessivamente oneroso destinare stabilmente personale alla funzione di internal audit. In tali casi, è possibile affidare a soggetti terzi23 lo svolgimento di tale funzione.

Inoltre, l’esternalizzazione deve risultare formalizzata in un accordo, che deve almeno definire:

• gli obiettivi, la metodologia e la frequenza dei controlli;

• le modalità e la frequenza dei rapporti all’alta direzione e al consiglio di amministrazione sulle verifiche effettuate;

• i collegamenti con le funzioni svolte dal collegio sindacale;

• la possibilità di rivedere le condizioni del servizio al verificarsi di modifiche di un certo rilievo nell’operatività e nell’organizzazione della banca;

• la possibilità di effettuare controlli al verificarsi di esigenze improvvise; • gli obblighi di riservatezza e la proprietà esclusiva della banca dei risultati

dei controlli;

23Per soggetti terzi si intendono altre banche, società di revisione ovvero gli organismi associativi di categoria (ad es. Federazioni regionali delle banche di credito cooperativo)

(17)

• l’accesso completo e immediato dell’Autorità di vigilanza alla documentazione prodotta dai soggetti terzi.

I vertici aziendali verificano periodicamente l’efficacia e l’efficienza dei controlli effettuati.

Nel rispetto di questi stessi principi, inoltre, le banche, indipendentemente dalla dimensione, possono esternalizzare specifici controlli, che richiedono conoscenze professionali specializzate, in aree operative di contenute dimensioni e/o rischiosità. In qualsiasi momento la banca deve comunque essere in grado di far intervenire, se lo ritiene, la propria funzione di revisione interna. Le banche che intendono esternalizzare, in tutto o in parte, lo svolgimento della funzione di

internal audit ne danno preventiva comunicazione alla Banca d’Italia,

specificando le esigenze aziendali che hanno determinato la scelta e le modalità con le quali verrebbero svolti tali controlli.

3.3.3.3 Sezione II: Sistemi informativi

Anche se più volte specificato, le Istruzioni intendono ancora una volta porre l'attenzione sul sistema informativo, quale elemento base per una sana e prudente gestione. Le informazioni devono essere affidabili, complete e funzionali, in modo da permettere il rispetto delle normative e dei regolamenti interni da parte di ogni collaboratore, e la produzione dei documenti richiesti per l'esterno.

Il sistema informatico è un valido supporto, ma le banche si devono tutelare dai rischi che possono derivare dal suo utilizzo: si dovranno prevedere sistemi di sicurezza volti a proteggere dalla perdita di dati e programmi, nonché un sistema di controlli e una organizzazione adatti a garantire l’affidabilità delle proprie basi di dati e dei propri sistemi elaborativi.

Seppur le misure da adottare dipendano dalla complessità della banca, le Istruzioni definiscono una serie di principi validi per tutte le realtà. Innanzitutto spetta al consiglio di amministrazione l'approvazione delle strategie riguardanti

(18)

l'Information Technology; inoltre le procedure per l'acquisizione di hardware e

software, nonché per la cessione all’esterno di determinati servizi (outsourcing),

devono essere formalizzate. Il ruolo della funzione Internal Audit si configura nella verifica dell'adeguatezza dei controlli sugli aspetti riguardanti l'IT, ed è alla funzione stessa che spettano controlli su eventuali violazioni e intrusioni da parte di individui, interni o esterni alla banca, non autorizzati. Infine, in presenza di eventi che compromettono la funzionalità del sistema, si dovrà prevedere un piano di emergenza che assicuri la continuità delle operazioni vitali e il ritorno in tempi ragionevoli all’operatività normale.

3.3.3.4 Sezione II: Controlli sulle succursali estere

Le istruzioni delineano specifiche disposizioni anche per quanto riguarda la succursali estere, ponendo l'accento sulla necessità di allineamento delle succursali con l'azienda, sia per quanto riguarda strategie e obiettivi, sia per quanto riguarda aspetti tecnici come procedure, conferimento dei poteri decisionali e poteri di firma.

Per quanto riguarda l'aspetto dei controlli, le Istruzioni stabiliscono non solo che ci siano audit periodici nelle succursali estere, ma anche che sia definita un'apposita funzione laddove si ritenga necessario per significatività delle operazioni. Viene inoltre posta attenzione sull'importanza del controllo documentale relativamente a operatività e aspetti gestionali, in modo da poter avere una valutazione complessiva, e sulle verifiche, da effettuarsi da parte di collegio sindacale, dell'internal audit e delle società di revisione esterne, con periodicità definita dal consiglio di amministrazione, da valutarsi in base a natura e rischiosità dell'attività in relazione anche all'ambiente di riferimento.

Le banche dovranno quindi trasmettere alla Banca d’Italia entro il 31 dicembre, una informativa generale sulle verifiche ispettive condotte nell’anno, riguardante i risultati delle ispezioni effettuate, le irregolarità emerse, le misure correttive intraprese e il loro stato di realizzazione, la programmazione della futura attività

(19)

ispettiva, il tutto corredato dalle valutazioni del consiglio di amministrazione e del collegio sindacale.

3.3.4 La Sezione III: Il Sistema dei controlli interni del gruppo bancario Per quanto riguarda il controllo nei gruppi bancari, le Istruzioni delineano una serie di disposizioni relative alla capogruppo. Innanzitutto si identificano ben tre tipi di controllo da mettere in atto:

• Controllo strategico, relativo all'evoluzione delle diverse aree di attività in cui il gruppo opera e dei rischi incombenti;

• Controllo gestionale, volto ad assicurare il mantenimento delle condizioni di equilibrio economico, finanziario e patrimoniale sia delle singole società sia del gruppo nel suo insieme, attraverso la predisposizione di piani, programmi e budget e l'analisi delle situazioni economico patrimoniali delle singole società e del gruppo nel suo complesso;

• Controllo tecnico-operativo, finalizzato alla valutazione dei vari profili di rischio apportati al gruppo dalle singole controllate.

Le Istruzioni descrivono dunque i compiti della capogruppo, che, agendo secondo equità e ragionevolezza, deve far si che le varie società del gruppo agiscano sotto principi comuni, e possano essere tra loro connesse in modo da agevolarne il controllo. In particolare, si deve porre attenzione alla definizione di procedure di comunicazione e di collegamento, di meccanismi di integrazione dei sistemi contabili e di flussi informativi periodici finalizzati a controlli di conformità come di raggiungimento degli obiettivi strategico- reddituali.

Le Istruzioni danno anche disposizioni relativamente alla funzione internal audit: se, da un lato, ogni banca è tenuta a dotarsi della funzione stessa, secondo quanto precedentemente affermato, dall'altro è possibile, nell'ambito delle strategie di gruppo, accentrare lo svolgimento dell'internal audit presso una delle società del gruppo, dandone previa comunicazione alla Banca d'Italia.

(20)

3.3.5: La Sezione IV: Compiti del Collegio Sindacale e Comunicazioni della Società di Revisione

Il ruolo affidato al collegio sindacale dalle banche ha caratteristiche particolari: il collegio sindacale è infatti chiamato ad una funzione di controllo che non si limita agli aspetti formali, ma, in stretta collaborazione con la funzione Internal Audit, contribuisce ad assicurare regolarità e legittimità della gestione, nonché a preservare l'autonomia dell'impresa bancaria.

Il collegio Sindacale si interfaccia con gli attori del sistema di controllo interno, ovvero non solo, come già detto, con la funzione internal audit, ma anche con la Banca d'Italia e con le società di revisione esterne.

Esiste infatti un raccordo funzionale tra il controllo esercitato dalla Banca d’Italia e l’attività dei sindaci, che fanno da interlocutore privilegiato. La prima può richiedere informazioni sui controlli svolti e sul funzionamento dei controlli interni, ed inoltre l'art. 52, comma 1 del T.U prevede che il Collegio Sindacale la informi circa tutti gli atti o fatti di cui venga a conoscenza che possano costituire una irregolarità nella gestione delle banche o una violazione delle norme che ne disciplinano l’attività24.

Il collegio sindacale si interfaccia inoltre con le società di revisione esterne, alle quali può chiedere dati e informazioni utili all'esercizio della propria attività. Anche le stesse società di revisione esterne hanno obblighi di comunicazione nei confronti della Banca d'Italia: sono infatti tenute a riferire di tutti gli atti o i fatti, rilevati nello svolgimento dell’incarico, che possono costituire una grave violazione delle norme disciplinanti l’attività bancaria o pregiudicare la continuità dell’impresa o comportare un giudizio negativo, un giudizio con rilievi o una dichiarazione di impossibilità di esprimere un giudizio sul bilancio di esercizio e consolidato (art. 52, comma 2, del T.U.). La medesima previsione si applica anche nei confronti dei soggetti che esercitano gli stessi compiti presso le 24 La medesima previsione si applica anche nei confronti dei soggetti che esercitano gli stessi compiti

presso le società che controllano le banche o che sono da queste controllate ai sensi dell’art. 23 del T.U. (art. 52, comma 3, del T.U.)

(21)

società che controllano le banche o che sono da queste controllate ai sensi dell’art. 23 del T.U. .

Riferimenti

Scarica adesso ( PDF - 21 pagine - 160.91 KB )

Documenti correlati

Dott.ssa Claudia Rosati Componente Unità Internal Audit – CNR Roma

di nominare la Commissione esaminatrice del concorso pubblico per titoli ed esami per l’assunzione con contratto di lavoro a tempo pieno e indeterminato di due unità di

Istruzioni d'uso e di montaggio Forno a vapore con funzione microonde

Durante la cottura al vapore, la durata della fase di riscaldamento dipende dal- la quantità e dalla temperatura degli ali- menti.. In generale, la fase di riscalda- mento dura

I Un audit per tutti... tutti per un solo audit

obiettivi e metodologie - sviluppato dal Gruppo di Lavoro Alimentare di AICQ Triveneta in collaborazione con la Società Italiana di Medicina Veterinaria Preventiva, quale momento

POLICY DELLA FUNZIONE COMPLIANCE

Il presente documento illustra gli indirizzi adottati dal Consiglio di Amministrazione per l’attuazione della Funzione “Compliance”, come previsto dalla Deliberazione del 29 luglio

Il Sistema dei Controlli Interni e la funzione di Internal Audit

Con riferimento alla professionalità e alle competenze richieste, si ha riguardo a conoscenze complessive del business bancario e delle strategie tipiche del settore

Cyber Security UNA STRATEGIA BASATA SU SAP ENTERPRISE THREAT DETECTION. Internal Audit, Risk, Business & Technology Consulting

Valutazione degli impatti di business di un Cyber Attack Analisi e valutazione degli eventi anche a livello applicativo.. SAP ENTERPRISE

TLS250B. Troncatrice per legno con funzione sega da banco ISTRUZIONI PER L USO Istruzioni originali

7) Make sure that the lower blade’s guide (Fig. A pos.6) functions correctly in cutting off mode: when lowering and lifting the cutting head the guard automatically uncovers

AUDIT CLINICO

Si viene quindi, nel corso degli ultimi anni, a definire l’Audit clinico come l’“iniziativa condotta da clinici, che si pone l’obiettivo di migliorare la qualità e gli