Le regole di corporate governance

Slides:



Advertisements
Presentazioni simili
NELLE SOCIETA’ PER AZIONI
Advertisements

La sorveglianza sanitaria nel nuovo Testo Unico
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
L’EVOLUZIONE DEL RUOLO DELL’INTERNAL AUDITING IN BANCA
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
Società di gestione del risparmio (SGR)
Associazione Nazionale Direttori Amministrativi e Finanziari Sezione Liguria Borsa e Mercati Finanziari – La comunicazione con gli investitori tra opportunità
Controlli sulle Società Partecipate
Filippo Garelli e Deborah Mondelli
Politiche sociali Lavinia Bifulco.
AMBIENTE CONTESTO NEL QUALE UN’ORGANIZZAZIONE OPERA, COMPRENDENTE L’ARIA, L’ACQUA, IL TERRENO, LE RISORSE NATURALI, LA FLORA, LA FAUNA, GLI ESSERI UMANI.
LA DISCIPLINA NORMATIVA DEI SOGGETTI ABILITATI SI ARTICOLA SU DUE LIVELLI I LIVELLO NORME CHE SI APPLICANO A TUTTI GLI INTERMEDIARI II LIVELLO NORME CHE.
La revisione aziendale
Corso di Economia e Gestione delle Imprese IIUniversità Carlo Cattaneo - LIUCLezione 4 1 I SOGGETTI DEL MERCATO FINANZIARIO. (seconda parte)
CODICE ETICO E LINEE GUIDA Schema di verifica straordinaria Allegato B Dott. Andrea Nicoletti.
Gestione collettiva del risparmio
Posizionamento strategico delle funzioni di Controllo e di Compliance e la centralità dell’Internal Auditing Giovanni Barbara Docente a contratto Università.
Relazione finale del Gruppo di lavoro sulle società a partecipazione comunale Bergamo, 21 marzo 2006.
Controllo di Gestione negli Enti Pubblici
Lo SREP: il punto di vista della Vigilanza
Il Sistema dei Controlli nel Gruppo Bancario Iccrea
Outsourcing delle Funzioni di
I compiti dell’Organismo di Vigilanza
SISTEMI DI GESTIONE AMBIENTALE E MODELLO EX D. L.GS. 231/01
Carli Luca Ambito economico aziendale Classe 5iC Area di progetto 2010/2011.
LISTITUZIONE DI UN ORGANO DI CONTROLLO INTERNO CONFORME AL D. LGS. 231/01 Istituto di ricerca S.r.l. Istituto di ricerca S.r.l.
Direzione Partecipate Febbraio 2013
Carli Luca Ambito economico aziendale Classe 5iC Area di progetto 2010/2011.
LA DIMENSIONE IMMATERIALE DEL CONTROLLO
Mercato Privati - RU MERCATO PRIVATI Referente AR Aprile 2014.
- 1 - I sistemi di corporate governance della SE  Sono previste due forme di corporate governance della SE: (a) Sistema dualistico (artt , Regolamento),
NELLE SOCIETÀ CHE NON FANNO RICORSO AL MERCATO DEL CAPITALE DI RISCHIO
del revisore contabile
CONSIGLIO DI SORVEGLIANZA
Modelli organizzativi Avv. Roberto Padova. Le finalità del Modello Organizzativo L’articolo 6 del Decreto, nell’introdurre il regime di responsabilità.
CONSIGLIO DI AMMINISTRAZIONE COMITATO PER IL CONTROLLO DELLA GESTIONE
GOVERNANCE DI GRUPPO Dott. Matteo Principi
Università degli Studi di Cassino e del Lazio meridionale Facoltà di Economia Programmazione e controllo delle Imprese pubbliche Collaboratori di cattedra:
Università di Macerata - P. Cioni1 Economia delle aziende di assicurazione La Circolare Isvap n. 577/D: “Disposizioni in materia di sistema dei controlli.
Verona, 23 giugno 2008 Funzioni aziendali di controllo, principio di proporzionalità e ruolo degli organi sociali 1 Prof. Gian Domenico Mosco Ordinario.
Trasparenza e Anticorruzione:
L’Amministrazione Finanziaria
DIRITTO INTERMEDIARI FINANZIARI
Responsabilità della direzione Qualità nei laboratori di ricerca e albo dei laboratori altamente specializzati Workshop, Genova 4 ottobre 2002 unige G.
1 REVISORI CONTABILI (art. 13 Dlgs. 21/11/2007 n. 231) ISCRITTI REGISTRO REVISORI CONTABILI b)PERSONE FISICHE SOCIETA’ DI REVISIONE ISCRITTI ALBO CONSOB.
Amministrazione trasparente
LA VERIFICA DELLA CORRETTA TENUTA DELLA CONTABILITA’
Lezione 17 Tipologie di fondi comuni di investimento
Il Collegio sindacale nella riforma del diritto societario
…Evviva ho il motorino Grazie nonni! Vado a vivere da sola Paris……..
Asseverazione dei Sistemi di Gestione della Sicurezza.
A.A ottobre 2008 Facoltà di Scienze della Comunicazione Master in Comunicazione nella PA Le politiche attive del lavoro prof. Nedo Fanelli.
25 marzo F. Berti 1 I sistemi di amministrazione e controllo nelle Società Cooperative Seminario “Le recenti normative in ambito societario, di.
Forme giuridiche dell’impresa ing. consuelo rodriguez.
POLITICHE DI GENERE SUL TERRITORIO ESPERIENZE A CONFRONTO Attività del Comitato Pari Opportunità dell’Odcec di Firenze 1 aprile 2016 Con il patrocinio.
Elementi costitutivi di un Sistema Qualità Corso di Formazione Residenziale “Il Manuale di Accreditamento della funzione specialistica Nefrologica” Aprile.
CONTROLLO OPERATIVO L'Azienda individua, tramite il Documento di Valutazione dei Rischi, le operazioni e le attività, associate ai rischi identificati,
OIC 14 DISPONIBILITA’ LIQUIDE. OIC 14 – DISPONIBILITA’ LIQUIDE DEFINIZIONI fornite dal OIC 14 Le disponibilità liquide, come previsto dall’articolo 2424.
Proposte per la riorganizzazione dell’Ufficio Centrale Ispettivo del Dipartimento della Pubblica Sicurezza in termini di Internal Auditing. Incontro con.
Diritto Societario Mercato dei capitali e società quotate Diritto Societario Mercato dei capitali e società quotate Gruppo di Lavoro sui Temi Europei Riunione.
CAMERA DI COMMERCIO DI PARMA Parma, 30 Dicembre 2013.
Attori Enterprise risk management
CORSO DI REVISIONE CONTABILE D.LGS. 39/2010: approfondimenti DOTT. ALESSIO SILVESTRI.
Revisione Aziendale Lezione del Il Sistema di controllo interno.
La responsabilità diretta degli Amministratori dei Fondi pensione nell’esecuzione dei controlli periodici nell’attività finanziaria imposti dalla delibera.
Prof.ssa Cecilia Silvestri - A.A. 2014/2015. Punti Norma ISO 9001 Prof.ssa Cecilia Silvestri - A.A. 2014/2015.
Tecniche di Gestione della Qualità Prof. Alessandro Ruggieri Prof. Enrico Mosconi A.A
Carta dei Servizi Servizio Statistica e toponomastica del Comune di Firenze A cura di Elisa Bacci.
RELAZIONE TRA FONTI REGOLATRICI DEL RAPPORTO DI LAVORO Dott.ssa Chiara Fantinato Consulente del Lavoro.
Transcript della presentazione:

Le regole di corporate governance

Indice Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche (Banca d’Italia 2006) e la gestione e il controllo dei rischi La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri)

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche (Banca d’Italia 2006) e la gestione e il controllo dei rischi La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri) Secondo la definizione contenuta nei citati principi dell’OCSE (1999-2004), il governo societario coinvolge “un insieme di relazioni fra i dirigenti di una società, il suo consiglio di amministrazione, i suoi azionisti e le altre parti interessate. Il governo societario definisce la struttura attraverso cui vengono fissati gli obiettivi della società, vengono determinati i mezzi per raggiungere tali obiettivi e vengono controllati i risultati. La presenza di un efficace sistema di governo societario, per la singola impresa e per l’economia nel suo complesso, contribuisce ad assicurare un adeguato livello di fiducia, necessario al buon funzionamento dell’economia di mercato”. In ambito bancario il Comitato di Basilea stabilisce che il governo societario concerne le modalità con cui il consiglio di amministrazione e l’alta direzione conducono l’attività e gli affari della banca e influisce sul modo in cui essi: • fissano gli obiettivi aziendali; • gestiscono l’operatività giornaliera della banca; • adempiono all’obbligo di rendere conto agli azionisti e tengono in considerazione il punto di vista delle altre parti interessate accertate; • conformano le attività e la condotta aziendali all’aspettativa che la banca operi in modo sano e prudente, nell’osservanza delle leggi e dei regolamenti applicabili; • tutelano gli interessi dei depositanti. Nel 2006 il Comitato di Basilea per la Vigilanza Bancaria ha pubblicato (a seguito anche di una pubblica consultazione) un documento recante i principi per il rafforzamento delle regole di CG nelle banche. Il documento (che rappresenta un’evoluzione della precedente stesura nel 1999 e che tiene in debito conto anche i principi per la CG pubblicati dall’OCSE nel 2004) non si configura come un elemento addizionale del nuovo schema internazionale di adeguatezza patrimoniale (Basilea 2), né intende integrarlo con requisiti aggiuntivi; i principi ivi enunciati sono applicabili indipendentemente dall’eventuale scelta di un paese di adottare lo schema Basilea 2. Al momento della pubblicazione, tuttavia, il Comitato ha riconosciuto l’importanza di un solido governo societario. Al riguardo, “il consiglio di amministrazione e l’alta direzione di ciascun istituto hanno il dovere di comprendere il profilo di rischio dell’istituto stesso e di assicurare che la sua dotazione patrimoniale rifletta adeguatamente tale rischio”.

Il Rafforzamento del governo societario nelle organizzazioni bancarie (Comitato di Basilea, 2006) 1/3 I principi generali individuati dal Comitato di Basilea per la Vigilanza Bancaria Prassi efficaci di governo societario sono essenziali al fine di conseguire e mantenere la stima e la fiducia del pubblico nel sistema bancario, due aspetti cruciali per il corretto funzionamento del settore bancario e dell’economia nel suo complesso. Una governance carente accresce il rischio di fallimenti bancari, che possono avere costi e conseguenze rilevanti per il pubblico a causa dei loro potenziali effetti sui sistemi di tutela dei depositi, nonché della possibilità di implicazioni macroeconomiche più generali, quali il rischio di contagio e l’impatto sui sistemi di pagamento. Un governo societario carente può inoltre far sì che i mercati perdano fiducia nella capacità di una banca di gestire adeguatamente le proprie attività e passività, compresi i depositi, cosa che, a sua volta, potrebbe innescare una corsa agli sportelli o una crisi di liquidità. Di fatto, oltre che nei confronti degli azionisti, le banche hanno delle responsabilità anche nei confronti dei depositanti. Un solido governo societario costituisce un elemento essenziale per il funzionamento sano e prudente di una banca e potrebbe influire sul suo profilo di rischio qualora non fosse attuato in maniera efficace. Dal momento che le funzioni del consiglio di amministrazione e dell’alta direzione riguardo alla definizione e all’attuazione delle politiche e al monitoraggio della conformità rappresentano elementi essenziali delle funzioni di controllo di una banca, l’efficace vigilanza sull’operatività e sugli affari della banca da parte di questi due organi contribuisce al mantenimento di un sistema di supervisione efficiente ed efficace in termini di costo. Una sana governance concorre inoltre alla protezione dei depositanti e consente agli organi di vigilanza di fare maggiore affidamento sui processi interni della banca. Secondo il Comitato, le disposizioni in materia di governance, così come i sistemi giuridici e regolamentari, variano considerevolmente da un paese all’altro. Ciononostante, è possibile conseguire un sano governo societario indipendentemente dalla configurazione assunta da un’impresa bancaria, a condizione che siano presenti alcune funzioni essenziali. Vi sono quattro importanti forme di supervisione che andrebbero integrate nella struttura organizzativa delle banche al fine di garantire un adeguato sistema di controlli e bilanciamento dei poteri: 1) supervisione da parte del consiglio di amministrazione o del supervisory board; 2) supervisione da parte di individui non coinvolti nella gestione corrente delle varie aree operative; 3) supervisione gerarchica diretta delle varie aree operative; 4) funzioni indipendenti di gestione del rischio, controllo della conformità e revisione. È inoltre importante che il personale assegnato a posizioni chiave possieda i requisiti di professionalità e onorabilità per le mansioni che è chiamato a svolgere (1) Le banche dovrebbero disporre di amministratori in un numero e una composizione appropriati, in grado di esercitare un giudizio indipendente da quello della direzione, dainteressi politici o da inopportuni interessi esterni. L’indipendenza e l’obiettività possono essere rafforzate inserendo nel consiglio amministratori qualificati che non ricoprano cariche esecutive, o attraverso la costituzione di un organo di controllo (supervisory board o board of auditors) autonomo da quello incaricato della gestione. Ciò diviene particolarmente importante in alcuni settori chiave quali: i) la garanzia dell’integrità della documentazione finanziaria e non finanziaria, ii) la verifica delle operazioni con parti correlate, iii) la designazione degli amministratori e dei principali dirigenti e iv) la definizione della loro remunerazione. Ai fini di una maggiore trasparenza e responsabilizzazione, allorché vengono creati comitati consultivi nell’ambito dell’organo che svolge la funzione di amministrazione, dovrebbero esserne ben definiti e resi noti il mandato, la composizione (compresi i membri considerati indipendenti) e le procedure operative. Il Comitato ritiene che per le grandi banche attive a livello internazionale sia appropriato e giovevole dotarsi di un comitato per il controllo interno (comitato di audit) o di una struttura equivalente con funzioni analoghe. Fra i comitati specializzati di crescente diffusione figurano inoltre: i comitati di gestione del rischio, i comitati per le retribuzioni, i comitati per le nomine / il governo societario / le risorse umane. In seno a tali comitati possono svolgere un ruolo chiave gli amministratori che non esercitano funzioni esecutive, nonché quelli che dispongono delle competenze e conoscenze pertinenti.

(segue) I Principi del Comitato Basilea per il “rafforzamento” della governance bancaria 2/3 1- I membri del consiglio di amministrazione sono qualificati a rivestire le posizioni che occupano, hanno una chiara cognizione del proprio ruolo nel governo societario e sono in grado di esercitare un giudizio critico in merito agli affari della banca. 2- Il consiglio di amministrazione approva gli obiettivi strategici della banca e i valori aziendali comunicati a tutti i livelli dell’organizzazione, e se ne fa custode. 3- Il consiglio di amministrazione stabilisce e fa rispettare chiare linee di responsabilità e di competenza a tutti i livelli dell’organizzazione bancaria. 4- Il consiglio di amministrazione garantisce che l’alta direzione eserciti un’appropriata supervisione, in conformità delle politiche del consiglio stesso. (2) Il consiglio di amministrazione dovrebbe fissare obiettivi strategici e standard elevati di condotta professionale che dirigano le attività correnti della banca, tenendo conto degli interessi degli azionisti e dei depositanti, e prendere le misure necessarie affinché tali obiettivi e standard siano comunicati diffusamente all’interno dell’organizzazione. Una comprovata cultura aziendale che instilli un’etica professionale e fornisca incentivi appropriati è altrettanto, se non addirittura più importante di qualsivoglia insieme scritto di alti valori e standard professionali. Il costante perseguimento di elevati standard professionali si iscrive nel migliore interesse della banca e accresce la sua credibilità e affidabilità nell’operatività giornaliera e nel più lungo periodo. Al Consiglio di amministrazione ha un ruolo essenziale nella individuazione e nella gestione delle situazioni di potenziale conflitto di interessi che sono vieppiù complesse allorquando la banca opera nell’ambito di un gruppo. (3) Un consiglio di amministrazione che operi in maniera efficace definisce chiaramente poteri e responsabilità chiave per se stesso e per l’alta direzione. Esso riconosce inoltre che l’indeterminatezza o la ridondanza delle linee di competenza e di responsabilità può acuire un problema ritardando o frammentando le risposte correttive. All’interno dei meccanismi di controllo e contrappeso previsti da un solido governo societario, il consiglio di amministrazione è tenuto a sorvegliare le azioni della direzione e a verificarne la coerenza con le politiche da esso fissate. L’alta direzione ha invece il compito di delegare gli incarichi al personale ed elaborare una struttura direttiva che promuova la responsabilizzazione, avendo consapevolezza del proprio dovere di controllo sull’esercizio delle funzioni delegate e della propria responsabilità ultima davanti al consiglio per i risultati conseguiti dalla banca. Questi stessi principi si applicano qualora la banca appartenga a una struttura più ampia di gruppo, in qualità di casa madre o di affiliata. La dimensione di gruppo giustifica tuttavia alcune considerazioni supplementari rilevanti in una prospettiva di governance, poiché è probabile che influisca in certa misura sulla struttura di governo societario e sulle attività dei consigli di amministrazione sia della casa madre sia delle affiliate. Nell’espletamento delle sue responsabilità di governance, il consiglio di amministrazione della casa madre dovrebbe essere consapevole dei rischi e delle questioni materiali che potrebbero influire sulle entità dell’organizzazione e dovrebbe pertanto esercitare un controllo adeguato sulle attività delle affiliate. Sebbene le responsabilità di governo societario del consiglio di amministrazione della casa madre non pregiudichino né diminuiscano quelle, qui descritte, dei consigli e delle alte direzioni delle affiliate, è possibile evitare un’inutile ridondanza di strutture e attività di governance attraverso un’integrazione e un coordinamento adeguati. (4) L’alta direzione si compone di un nucleo di individui, fra cui ad esempio il direttore finanziario e i capi divisione, responsabili di sovrintendere alla gestione corrente della banca. Essi dovrebbero disporre delle competenze necessarie a gestire le aree di loro competenza e di un controllo adeguato sul personale chiave a queste assegnato. L’alta direzione fornisce un contributo sostanziale al buon governo societario di una banca sorvegliando i responsabili di vario livello in aree operative e attività specifiche, conformemente alle politiche e alle procedure definite dal consiglio di amministrazione. Uno dei ruoli fondamentali dell’alta direzione consiste nella realizzazione, secondo gli indirizzi forniti dal consiglio di amministrazione, di un sistema efficace di controlli interni. Anche nelle banche di piccole dimensioni, ad esempio, le decisioni più importanti andrebbero prese congiuntamente da più persone (principio del doppio controllo, o four eyes principle).

7- La banca è amministrata in maniera trasparente. (segue) I Principi del Comitato Basilea per il “rafforzamento” della governance bancaria 3/3 5- Il consiglio di amministrazione e l’alta direzione fanno un uso efficace del lavoro svolto dalla funzione di audit interno, dai revisori esterni e dalle funzioni di controllo interno 6- Il consiglio di amministrazione si assicura che le politiche e le prassi retributive siano coerenti con la cultura, gli obiettivi e la strategia a lungo termine, nonché con il sistema di controlli della banca. 7- La banca è amministrata in maniera trasparente. 8- Il consiglio di amministrazione e l’alta direzione hanno una buona comprensione della struttura operativa della banca, anche qualora questa operi in giurisdizioni o tramite strutture che ostacolano la trasparenza (principio “know-your-structure”). (5) Il consiglio di amministrazione dovrebbe essere consapevole e prendere atto del fatto che revisori e funzioni di controllo interno (comprese quelle legali e di conformità) indipendenti, competenti e qualificati sono essenziali nel processo di governo societario per conseguire vari importanti obiettivi. In particolare, esso dovrebbe utilizzare il lavoro dei revisori e delle funzioni di controllo a verifica e garanzia indipendente delle informazioni ricevute dalla direzione sulle operazioni e sui risultati della banca. Anche l’alta direzione dovrebbe riconoscere l’importanza di funzioni efficaci di audit interno ed esterno e di controllo ai fini della solidità della banca nel lungo periodo. La banca dovrebbe disporre di solide funzioni di controllo interno, compresa una funzione efficace di conformità incaricata, fra l’altro, di monitorare costantemente il rispetto di norme, regolamenti, codici e politiche cui la banca è sottoposta in materia di governo societario, e di assicurare che le relative deviazioni siano segnalate all’appropriato livello gerarchico o, se del caso, al consiglio di amministrazione. È buona prassi considerare la possibilità che la funzione di revisione interna riferisca direttamente al consiglio di amministrazione tramite un comitato di audit o altre strutture costituite per la maggior parte da consiglieri indipendenti. Potrebbe risultare utile per questi ultimi riunirsi almeno una volta l’anno con il revisore esterno e i capi delle funzioni di revisione interna, conformità e legale senza che sia presente la direzione della banca. Ciò può rafforzare la capacità del consiglio di amministrazione di sorvegliare l’applicazione delle politiche da esso formulate da parte della direzione e di garantire che le strategie aziendali e le esposizioni al rischio della banca siano coerenti con i parametri di rischio da esso stabiliti. (6) L’assenza di un collegamento fra gli incentivi di natura economica dei membri del consiglio di amministrazione e dell’alta direzione e la strategia aziendale a lungo termine può risultare in azioni contrarie agli interessi della banca e delle parti che in essa hanno un’interessenza. Ciò potrebbe accadere allorché, ad esempio, l’attività sia valutata in base al volume e/o alla redditività a breve termine per la banca, con scarsa considerazione delle conseguenze in termini di rischio per il breve o il lungo periodo. Qualora i consiglieri esecutivi e i membri dell’alta direzione abbiano diritto a incentivi collegati ai risultati conseguiti, il loro trattamento economico dovrebbe essere soggetto a condizioni pertinenti e obiettive finalizzate ad accrescere il valore aziendale di lungo periodo. Allo scopo di evitare che siano creati incentivi a un’eccessiva assunzione di rischio, i livelli retributivi dovrebbero essere fissati, nell’ambito della politica generale dell’azienda, in modo da non essere oltremodo correlati ai risultati a breve termine (ad esempio, proventi da negoziazione). Analogamente, le politiche di remunerazione dovrebbero specificare le condizioni alle quali i membri del consiglio di amministrazione e i principali funzionari esecutivi hanno la facoltà di detenere e negoziare azioni della banca o di società affiliate nelle quali la banca ha un’interessenza finanziaria rilevante, nonché le procedure da seguire per assegnare e valutare le stock option nel caso in cui esse costituiscano una componente importante della remunerazione complessiva. (7) La trasparenza è un elemento essenziale di un governo societario solido ed efficace. È auspicabile che la banca pubblichi informazioni tempestive e accurate sul proprio sito internet, all’interno di relazioni annuali o di diversa periodicità, nei rapporti alle autorità di vigilanza o nelle altre forme ritenute appropriate. L’informativa dovrebbe essere commisurata a dimensioni, complessità, assetto proprietario, significatività economica e profilo di rischio della banca, nonché alla sua eventuale quotazione in borsa. Le banche dovrebbero rilasciare informativa sui propri assetti di governance e di direzione.

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche (Banca d’Italia 2006) e la gestione e il controllo dei rischi La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri) (8) Allorché le banche operano tramite strutture scarsamente o per nulla trasparenti emergono problematiche a livello di governo societario. Un’istituzione può scegliere di operare in particolari giurisdizioni o attraverso strutture complesse (come società veicolo o corporate trust), spesso per scopi aziendali legittimi e appropriati. In questi casi, tuttavia, vi è la possibilità che insorgano rischi finanziari, legali e di reputazione per l’impresa bancaria, che la capacità del consiglio di amministrazione e dell’alta direzione di esercitare un’appropriata supervisione sull’attività ne risulti diminuita e infine che sia ostacolata un’azione efficace di vigilanza. Di conseguenza, l’alta direzione della banca dovrebbe assicurarsi che tali strutture o attività si conformino alle leggi e ai regolamenti pertinenti. Il consiglio di amministrazione dovrebbe inoltre valutare l’opportunità delle operazioni effettuate in tali giurisdizioni o del ricorso a tali strutture, ed eventualmente fissare adeguati limiti in proposito. Esso dovrebbe altresì garantire che l’alta direzione adotti delle politiche per l’individuazione e la gestione dell’intera gamma di rischi associati con tali strutture e attività. Il consiglio di amministrazione, ovvero l’alta direzione sotto la guida del consiglio, dovrebbero documentare questo processo di valutazione, autorizzazione e gestione del rischio allo scopo di rendere il processo trasparente per i revisori e le autorità di vigilanza

Caratteri della regolamentazione: Le Disposizioni di Vigilanza in materia di organizzazione e governo societario delle banche (Banca d’Italia, marzo 2008) 1/5 Caratteri della regolamentazione: Principle based Regulation Principio di proporzionalità Disciplina per “funzioni” e non per “organi” Efficaci assetti organizzativi e di governo societario costituiscono per tutte le imprese condizione essenziale per il perseguimento degli obiettivi aziendali. Per le banche essi assumono particolare rilievo in ragione delle caratteristiche che connotano l’attività bancaria e degli interessi pubblici oggetto di specifica considerazione da parte dell’ordinamento. Gli assetti organizzativi e di governo societario delle banche, oltre a rispondere agli interessi dell’impresa, devono assicurare condizioni di sana e prudente gestione, obiettivo essenziale della regolamentazione e dei controlli di vigilanza. L’intervento normativo trae origine dalle novità introdotte dalla riforma del diritto societario e dal relativo coordinamento del TUB, con particolare riguardo alla possibilità riconosciuta alle banche di adottare sistemi di amministrazione e controllo diversi da quello tradizionale, anche alla luce delle esperienze applicative maturate nel settore bancario. Esso tiene conto delle più recenti evoluzioni del quadro normativo in materia di corporate governance e assetti organizzativi, riconducibili all’attuazione della legge per la tutela del risparmio e al recepimento della nuova disciplina prudenziale per le banche, nonché dei principi e delle linee guida elaborate in materia a livello nazionale ed internazionale. Le disposizioni di vigilanza, in linea con le tecniche della “better regulation”, si articolano in principi generali e linee applicative. I primi, attraverso norme di carattere generale, fissano gli obiettivi della disciplina rimettendo all’autonomia degli intermediari la concreta individuazione delle soluzioni più idonee a realizzarli, secondo criteri di proporzionalità. Le linee applicative agevolano, su alcuni aspetti specifici della materia, l’attuazione delle norme generali, senza esaurirne il contenuto precettivo; esse sono calibrate sulle caratteristiche organizzative e operative delle diverse tipologie di banche. La disciplina regolamentare in via generale non fa riferimento a organi aziendali nominativamente individuati, potenzialmente variabili in relazione alla struttura organizzativa prescelta, ma richiama le funzioni di “supervisione strategica”, “gestione” e “controllo”, che dovranno essere in concreto assegnate agli organi aziendali o a loro componenti in coerenza con la normativa civilistica e di vigilanza. Tale impostazione risponde all’esigenza di enucleare dalle competenze degli organi sociali nei diversi modelli quelle che, presenti in ogni organizzazione aziendale, assumono rilievo sotto un profilo di vigilanza. La funzione di supervisione strategica si riferisce alla determinazione degli indirizzi e degli obiettivi aziendali strategici e alla verifica della loro attuazione; la funzione di gestione consiste nella conduzione dell’operatività aziendale volta a realizzare dette strategie; la funzione di controllo si sostanzia nella verifica della regolarità dell’attività di amministrazione e dell’adeguatezza degli assetti organizzativi e contabili della banca.

Distinzione di ruoli all’interno dell’azienda I presupposti di una governance efficace nelle regole di Banca d’Italia 2/5 Distinzione di ruoli all’interno dell’azienda Composizione degli organi aziendali Tra i principi contenuti nelle recenti disposizioni sul governo societario ve ne sono alcuni che rappresentano i presupposti essenziali di un efficace sistema di governo societario. Sono quelli che attengono alla: distinzione di ruoli all’interno dell’azienda; a prescindere dal modello di amministrazione e controllo adottato (monistico, dualistico o tradizionale), devono essere ben distinte e individuate le funzioni fondamentali: supervisione strategica, gestione e controllo. Nell’ambito della ripartizione di poteri tra gli organi o all’interno di essi devono essere precisati i compiti e le responsabilità di chi esercita la funzione di supervisione strategica (con poteri di delibera sugli indirizzi generali dell’azienda e di verifica nel continuo della loro attuazione) rispetto a quelli di chi esercita e assume le responsabilità della funzione di gestione. Tale distinzione è direttamente volta a rendere più agevoli e veloci i processi decisionali, a evitare sovrapposizioni e conflitti di competenze, a promuovere e favorire la dialettica aziendale, graduando le diverse responsabilità; composizione degli organi aziendali; all’interno dell’organo con funzione di supervisione strategica, è richiesta la presenza di componenti non esecutivi accanto a quelli esecutivi, al fine di assicurare ed evidenziare la corrispondente attribuzione di funzioni, di supervisione strategica ai primi e di gestione ai secondi, in quei contesti in cui le medesime sono svolte da un solo organo. La previsione di componenti indipendenti nell’organo con funzione di supervisione strategica e l’articolazione di questo in comitati (audit, remunerazione, nomine) rispondono poi all’esigenza di assicurare una maggiore efficacia delle diverse tipologie di controllo, consentendo di presidiare adeguatamente le materie in cui è più forte il rischio di conflitto di interessi

I principi di governance bancaria stabiliti dalla Banca d’Italia 3/5 Funzione degli organi di controllo Meccanismi di incentivazione e remunerazione Flussi informativi Di specifico rilievo sono poi le previsioni relative alle funzioni degli organi di controllo: collegio sindacale, consiglio di sorveglianza e comitato per il controllo sulla gestione, rispettivamente nei modelli tradizionale, dualistico e monistico. Le disposizioni sono volte a valorizzare il ruolo che tali organi, a prescindere dalla loro configurazione, devono svolgere all’interno dell’azienda, anche alla luce della funzione di referente della Banca d'Italia loro espressamente attribuita dal testo unico bancario. L’organo aziendale di controllo è il fulcro del sistema dei controlli: è chiamato a vigilare sull’osservanza delle norme di legge, regolamentari e statutarie, nonché sulla corretta amministrazione e sull’adeguatezza degli assetti organizzativi e contabili della banca. Al medesimo organo viene attribuita la responsabilità di: − vigilare sulla funzionalità del complessivo sistema dei controlli interni; − ricondurre ad unità e coordinare i diversi e numerosi attori dell’azione di controllo; − verificare l’adeguatezza e la rispondenza del processo di determinazione del capitale interno (ICAAP) ai requisiti stabiliti dalla normativa. Ai fini di un efficace espletamento di tali funzioni – soprattutto per quelle relative ad ambiti più strettamente tecnici ed attinenti alla gestione bancaria - è necessario che i componenti dell’organo abbiano adeguata conoscenza dei sistemi adottati dall’intermediario, del loro concreto funzionamento e della loro idoneità a coprire ogni aspetto dell’operatività aziendale. Sotto il profilo organizzativo, per svolgere al meglio tale complesso insieme di compiti e responsabilità, l’organo di controllo deve avere la possibilità di interagire in modo efficace e incisivo con tutte le strutture in cui si articola il sistema dei controlli. Così, ad esempio, le nuove regole di vigilanza richiedono che l’organo di controllo sia consultato in sede di nomina dei responsabili delle funzioni di controllo (audit, compliance, gestione dei rischi) e che possa esprimere il proprio avviso con riferimento alla definizione dell’architettura del sistema; che sia destinatario di flussi informativi diretti. Assetti di governo ben strutturati, organi di controllo coinvolti e consapevoli, strutture di controllo indipendenti e professionali sono fattori necessari a realizzare obiettivi di efficienza della gestione ed efficacia dei controlli; tuttavia in contesti, quali quello finanziario, che si caratterizzano per l’elevata complessità tecnica e dimensionale nonché per l’estrema velocità dell’innovazione e del cambiamento, essi vanno integrati con corretti meccanismi di incentivazione e remunerazione e con opportuni flussi informativi. E’ noto che la leva retributiva può essere utilmente impiegata per attrarre nelle realtà aziendali le migliori professionalità; il rischio è che essa incoraggi il perseguimento di obiettivi diversi da quelli della redditività di lungo periodo dell’azienda e, dunque, dalla sana e prudente gestione. Tale trade off è particolarmente sentito per coloro che esercitano funzioni di controllo: forme di incentivazione inadeguate possono compromettere l’imparzialità dei controlli. Per questo motivo i meccanismi di incentivazione e remunerazione dei componenti degli organi con funzioni di controllo nonché di altre figure chiave del sistema dei controlli interni sono oggetto di regole ad hoc. Viene introdotto un sistema che esclude tout court, in linea con il codice civile, i compensi variabili per i membri degli organi di controllo e richiede cautele particolarmente rigorose qualora questo tipo di retribuzione sia utilizzata per i responsabili delle funzioni di controllo interno. In particolare, per questi ultimi devono essere previsti compensi di livello adeguato alle significative responsabilità e all’impegno connessi al ruolo ricoperto, ma devono essere evitati, salvo valide e comprovate ragioni, bonus collegati ai risultati economici. Spetterà alle banche individuare meccanismi di incentivazione coerenti con i compiti assegnati e con i risultati tipici della loro attività .

I principi di governance bancaria stabiliti dalla Banca d’Italia 4/5 Funzione degli organi di controllo Meccanismi di incentivazione e remunerazione Flussi informativi Assetti di governo ben strutturati, organi di controllo coinvolti e consapevoli, strutture di controllo indipendenti e professionali sono fattori necessari a realizzare obiettivi di efficienza della gestione ed efficacia dei controlli; tuttavia in contesti, quali quello finanziario, che si caratterizzano per l’elevata complessità tecnica e dimensionale nonché per l’estrema velocità dell’innovazione e del cambiamento, essi vanno integrati con corretti meccanismi di incentivazione e remunerazione e con opportuni flussi informativi. E’ noto che la leva retributiva può essere utilmente impiegata per attrarre nelle realtà aziendali le migliori professionalità; il rischio è che essa incoraggi il perseguimento di obiettivi diversi da quelli della redditività di lungo periodo dell’azienda e, dunque, dalla sana e prudente gestione. Tale trade off è particolarmente sentito per coloro che esercitano funzioni di controllo: forme di incentivazione inadeguate possono compromettere l’imparzialità dei controlli. Per questo motivo i meccanismi di incentivazione e remunerazione dei componenti degli organi con funzioni di controllo nonché di altre figure chiave del sistema dei controlli interni sono oggetto di regole ad hoc. Viene introdotto un sistema che esclude tout court, in linea con il codice civile, i compensi variabili per i membri degli organi di controllo e richiede cautele particolarmente rigorose qualora questo tipo di retribuzione sia utilizzata per i responsabili delle funzioni di controllo interno. In particolare, per questi ultimi devono essere previsti compensi di livello adeguato alle significative responsabilità e all’impegno connessi al ruolo ricoperto, ma devono essere evitati, salvo valide e comprovate ragioni, bonus collegati ai risultati economici. Spetterà alle banche individuare meccanismi di incentivazione coerenti con i compiti assegnati e con i risultati tipici della loro attività .

Focus: il Progetto di governo societario 5/5 Adempimento di particolare rilevanza , soprattutto per le banche non quotate, per le quali sinora l’ordinamento non apprestava “occasioni” o “momenti” di formalizzazione delle proprie scelte organizzative. Va redatto entro il 30 giugno prossimo da tutte le banche (ad eccezione delle BCC, qualora adottino lo statuto tipo predisposto dall’associazione di categoria). Mentre le banche quotate possono, a tale fine, utilmente fare ricorso all’esperienza maturata nella predisposizione della relazione sulla governance ai sensi del codice di autodisciplina, le altre banche si trovano ad affrontare una adempimento del tutto nuovo, che potrebbe diventare ancor più complesso nell’ipotesi in cui la capogruppo assuma il compito di redazione del progetto per tutto il gruppo societario, sollevando pertanto le controllate da tale adempimento. La complessità è legata in primo luogo alla circostanza che la capogruppo dovrà compiutamente rappresentare le scelte e le motivazioni relative agli assetti organizzativi del gruppo e di ciascuna società che ne fa parte; in secondo luogo, e soprattutto, alla circostanza che è richiesto di “illustrare le ragioni che rendono il modello prescelto più idoneo ad assicurare l’efficienza della gestione e l’efficacia dei controlli”, anche con riferimento alle controllate. Non penso che tale adempimento debba implicare un confronto tra i vantaggi e gli svantaggi tra i tre sistemi di governance, che l’ordinamento in astratto prevede, in relazione alla realtà concreta della banca in questione. Credo che la disposizione, molto più semplicemente, debba essere intesa nel senso di fornire una descrizione delle funzionalità e degli aspetti positivi, anche ai fini di vigilanza, del sistema adottato. Il mondo bancario ha dovuto mettere in campo grandi energie per predisporsi ai cambiamenti indotti da tale disciplina. Con l’eccezione delle norme in materia di remunerazione, entrate in vigore il 4 marzo scorso, l’adeguamento alle disposizioni di vigilanza sta avvenendo in modo graduale, in vista del termine ultimo del 30 giugno 2009, data entro cui le banche e i gruppi bancari dovranno adeguarsi alle stesse. Tale quadro non mi consente di trarre se non delle prime indicazioni, in termini di riscontro operativo, sull’impatto delle disposizioni in esame sul sistema bancario. Con riguardo alla tempistica, infatti, si può ipotizzare che molte banche – soprattutto di medie e piccole dimensioni - provvederanno a formalizzare i necessari adeguamenti in occasione dell’assemblea di approvazione del bilancio di esercizio, che si tiene normalmente ad aprile, affiancando ad essa un’assemblea straordinaria per l’approvazione delle modifiche statutarie. Dai lavori in corso sono sinora emerse, più che specifiche questioni applicative, talune prime tematiche che meritano attenzione. Su tali tematiche e sulle altre questioni più di dettaglio che via via emergeranno, l’ABI ha attivato un gruppo di lavoro interbancario, i cui esiti verranno portati all’ulteriore attenzione dell’Autorità di Vigilanza.

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche (Banca d’Italia 2006) e la gestione e il controllo dei rischi La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri)

La corporate governance di una impresa, a maggior ragione di una impresa bancaria, passa necessariamente per una efficace gestione dei rischi Controlli e governo societario sono aspetti solo apparentemente distinti, che in realtà si integrano, concorrono insieme al buon funzionamento di un’impresa. La stessa Autorità di Vigilanza, per assicurare sviluppo e competitività del sistema bancario ha abbandonato gli strumenti della vigilanza strutturale – in primis la specializzazione operativa e il controllo autorizzativo per singoli atti – dando spazio a forme più evolute di controllo, proprie della risk based supervision, che valorizzano l’autonomia e l’imprenditorialità dei soggetti vigilati. Le disposizioni di recepimento di Basilea 2 riconoscono ed affermano espressamente la responsabilità di ciascuna banca nel definire il proprio profilo di rischio e nel commisurare ad esso i mezzi patrimoniali necessari, dando alle banche più evolute anche la possibilità di avvalersi di metodi avanzati di misurazione dei rischi. I requisiti organizzativi, insieme con quelli patrimoniali, costituiscono i presidi fondamentali per una gestione capace di produrre reddito al netto del rischio; una buona qualità dei controlli consente di ridurre il fabbisogno di capitale economico necessario rispetto ai rischi assunti.

Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La crescente importanza dei requisiti organizzativi accanto ai requisiti patrimoniali emerge da una serie di normative recenti: Basilea II Mifid Compliance Bancaria Organizzazione e Governo societario I requisiti organizzativi rappresentano il più efficace (e in alcuni casi l’unico) presidio per quei rischi non pienamente misurabili (di compliance, reputazionali) per i quali la sola leva patrimoniale appare insufficiente. Specificamente rivolte ai rischi legali e di reputazione sono le regole - Istruzioni di Vigilanza - che richiedono la costituzione, nell’ambito del sistema dei controlli interni, della nota funzione di compliance, incaricata di verificare che in tutti i settori operativi della banca esistano meccanismi che assicurino il rispetto delle norme applicabili all’attività bancaria, e in particolare di quelle che si riferiscono ai rapporti con la clientela e alla tutela del consumatore.

La funzione di conformità nelle regole di Banca d’Italia Si tratta di una funzione di governo (prevenzione, gestione, controllo) del rischio di non conformità (rischio legale e rischio reputazionale). Nasce dall’esigenza di introdurre specifici presidi organizzativi per assicurare rispetto sostanziale delle norme, garantire correttezza nelle relazioni con il pubblico, preservare la fiducia nelle banche La funzione di conformità è in particolare chiamata, in base alle disposizioni di vigilanza di Banca d’Italia, alla: identificazione nel continuo delle norme applicabili alla banca; misurazione/valutazione del loro impatto su processi e procedure aziendali; proposta di modifiche organizzative e procedurali finalizzata ad assicurare adeguato presidio dei rischi di non conformità identificati; predisposizione di flussi informativi diretti agli organi aziendali e alle strutture coinvolte (gestione del rischio operativo e revisione interna); verifica dell’efficacia degli adeguamenti organizzativi suggeriti per la prevenzione del rischio di conformità. Quella della compliance è una sfida cui il settore bancario sta dando risposta con entusiasmo. Presupposto indeludibile per il reale funzionamento della funzione è, però, l’esistenza di una buona governance integrata: razionalità del sistema di governo (soprattutto della middle governance); forte commitment degli organi di vertice; flussi informativi; chiara ripartizione di compiti e responsabilità all’interno dell’azienda; sviluppo della cultura della conformità ad ogni livello.

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche (Banca d’Italia 2006) e la gestione e il controllo dei rischi La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri)

Ambito di applicazione La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Ambito di applicazione Tutti gli intermediari che prestano servizi di investimento (art. 2 Regolamento) “intermediari”: le SIM; le imprese di investimento extracomunitarie; la società Poste Italiane – Divisione Servizi di Banco Posta, autorizzata ai sensi dell’articolo 2 del decreto del Presidente della Repubblica n. 144 del 14 marzo 2001; gli intermediari finanziari iscritti nell’elenco previsto dall’art. 107 del TUB, limitatamente alla prestazione dei servizi e attività di investimento; le banche italiane, limitatamente alla prestazione dei servizi e attività di investimento; le banche extracomunitarie limitatamente alla prestazione dei servizi e attività di investimento; gli agenti di cambio iscritti nel ruolo di cui all'articolo 201, comma 7, del TUF;

Requisiti organizzativi La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Regole organizzative Necessaria istituzione della funzione di compliance sempre e comunque Possibile integrare per le banche le funzioni di compliance ex Istruzioni di Banca d’Italia e Mifid Requisiti organizzativi Previsione di disposizioni volte a garantire l’indipendenza della funzione: assenza di vincoli gerarchici tra il responsabile della funzione e i responsabili delle funzioni sottoposte a controllo; separatezza organizzativa rispetto alle altre funzioni aziendali di controllo (gestione del rischio e audit interno); riporto diretto agli organi aziendali da parte del responsabile di funzione; remunerazione tale da non compromettere l’obiettività

Requisiti funzionali della compliance La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Requisiti funzionali della compliance Verifica in via preventiva dell’idoneità elle procedure interne relative alla prestazione dei servizi di investimento ad assicurare il rispetto della normativa di riferimento (verifica ex ante) Verifica (nel continuo) della corretta applicazione delle procedure, quindi della loro efficacia, attraverso il monitoraggio della operatività (verifica ex post) valutazione della idoneità e della efficacia delle procedure di compliance Tiene il registro dei conflitti di interesse Tiene il registro dei reclami I compiti affidati alla funzione di compliance rientrano nell’attività di controllo di secondo livello (mentre i controlli dell’internal audit sono di livello successivo e sono svolti nell’ottica di assicurare la complessiva tenuta dell’impianto organizzativo dell’intermediario

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche per la gestione e il controllo dei rischi (Banca d’Italia 2006) La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri)

A- Disposizioni in materia di sistema dei controlli interni Le Nuove disposizioni di vigilanza prudenziali per le banche per la gestione e il controllo dei rischi (Banca d’Italia 2006) A- Disposizioni in materia di sistema dei controlli interni B- La gestione e il controllo dei rischi: ruolo degli organi aziendali C- Informativa al mercato sui rischi e sulle relative politiche di copertura e gestione art. 53, comma 1, lettera d), TUB: il quale prevede che la Banca d'Italia, in conformità con le deliberazioni del CICR, emani disposizioni aventi a oggetto l'organizzazione amministrativa e contabile e i controlli interni; art. 67, comma 1, lett. d), TUB: il quale, al fine di realizzare la vigilanza consolidata, attribuisce alla Banca d'Italia, in conformità con le deliberazioni del CICR, la facoltà di impartire alla capogruppo, con provvedimenti di carattere generale o particolare, disposizioni concernenti il gruppo bancario complessivamente considerato o suoi componenti, aventi a oggetto l'organizzazione amministrativa e contabile e i controlli interni. La Circolare della Banca d'Italia n. 229 del 21 aprile 1999, oltre a fornire una definizione di “sistema dei controlli interni” (cfr. slide successiva), detta criteri di massima e raccomandazioni con riferimento al sistema dei controlli interni in generale, alla gestione dei rischi,al ruolo della funzione di revisione interna (internal audit), ai sistemi informativi e ai controlli sulle succursali all'estero. Inoltre, fornisce indicazioni in merito ai compiti della capogruppo in materia di controlli interni al gruppo bancario e agli adempimenti del collegio sindacale e agli obblighi informativi dello stesso e della società di revisione nei confronti della Banca d'Italia.

A - Disposizioni in materia di sistema dei controlli interni Il CICR, con delibera del 2 agosto 1996 (modificata dalla deliberazione del 23 marzo 2004), ha enunciato i principi generali sui quali devono basarsi le istruzioni della Banca d'Italia in tema di: — controlli interni aziendali; — misurazione, controllo e gestione dei rischi di mercato; — (…) Il T.U.B. ha reso organico il quadro delle norme primarie affidando alla Banca d'Italia, in conformità con le deliberazioni del CICR, il compito di dettare istruzioni di carattere generale sulla struttura amministrativa e contabile e sui controlli interni delle banche e dei gruppi bancari (artt. 53 e 67) Delibera del CICR: “La Banca d’Italia, avute presenti le raccomandazioni fornite in sede internazionale sulla gestione dei rischi da parte delle banche, emana istruzioni di vigilanza aventi ad oggetto requisiti organizzativi minimi con riferimento ai seguenti settori e sulla base dei principi generali per ciascuno di essi indicati. In particolare: - con riguardo ai controlli interni aziendali, la Banca d’Italia emana istruzioni volte ad assicurare che le banche si dotino al proprio interno di unità di controllo, di auditing e di riscontro amministrativo-contabile che, operando secondo criteri di funzionalità ed efficienza, concorrano al corretto andamento della gestione aziendale; - (...) - con riferimento all’attività svolta in comparti operativi connotati da un elevato grado di complessità e innovazione, la Banca d’Italia emana disposizioni per definire le condizioni minime per operare nel comparto, con particolare riguardo ai requisiti di natura organizzativa e alle metodologie di valutazione dei profili di rischio; La stessa delibera ha stabilito inoltre che la Banca d’Italia emani disposizioni alle capogruppo di gruppi bancari affinché le istruzioni applicative siano osservate all'interno del gruppo, complessivamente considerato, e presso le società che lo compongono. È stato previsto infine che la Banca d'Italia stabilisca requisiti organizzativi minimi volti a salvaguardare la correttezza e la trasparenza dei rapporti delle banche con la clientela. La Circolare della Banca d'Italia n. 229 del 21 aprile 1999 "Istruzioni di Vigilanza per le banche“, Titolo IV, Capitolo 11, disciplina il sistema dei controlli interni (SCI). La Circolare della Banca d'Italia n. 263 del 27 dicembre 2006 “Nuove disposizioni di vigilanza prudenziale per le banche” (di recepimento di Basilea 2), Titolo I, Capitolo 1, disciplina il ruolo degli organi aziendali nell’ambito della gestione e del controllo dei rischi (per gli aspetti non disciplinati dalle presenti disposizioni viene fatto rinvio alla citata Circolare n. 229 del 21 aprile 1999).

Disposizioni in materia di sistema dei controlli interni La Circolare della Banca d'Italia n. 229 del 21 aprile 1999 "Istruzioni di Vigilanza per le banche“, Titolo IV, Capitolo 11, disciplina il sistema dei controlli interni. Definizione: “Il sistema dei controlli interni è costituito dall'insieme delle regole, delle procedure e delle strutture organizzative che mirano ad assicurare il rispetto delle strategie aziendali e il conseguimento delle seguenti finalità: a) efficacia ed efficienza dei processi aziendali (amministrativi, produttivi, distributivi, ecc.); b) salvaguardia del valore delle attività e protezione dalle perdite; c) affidabilità e integrità delle informazioni contabili e gestionali; d) conformità delle operazioni con la legge, la normativa di vigilanza nonché con le politiche, i piani, i regolamenti e le procedure interne. I controlli coinvolgono, con diversi ruoli, gli organi amministrativi, il collegio sindacale, la direzione e tutto il personale. Essi costituiscono parte integrante dell'attività quotidiana della banca (…)”. Il SCI rappresenta un modello di governo dei controlli aziendali ispirato ai seguenti principi: 1) completezza e trasversalità dei controlli: il SCI è chiamato a garantire l’efficace governo di tutti i rischi aziendali. Tra questi rientrano sia quelli che caratterizzano la banca in qualità di intermediario finanziario (ad esempio, rischi di credito, di mercato, di liquidità) sia quelli comuni a tutte le categorie di imprese (ad esempio, rischi strategico, operativo, di reputation); sia quelli più facilmente quantificabili (ad esempio, rischio di mercato), sia quelli per cui la misurazione è più difficile (ad esempio, rischio strategico, rischio di reputation); 2) sana e prudente gestione: il SCI garantisce l’adeguatezza e funzionalità dell’organizzazione aziendale e opera in gran parte attraverso presidi organizzativi. La logica è quindi diversa da quella tipica dei sistemi (ad esempio, Risk Management) richiesti dalla normativa prudenziale sui ratios di capitale (primo pilastro di Basilea 2). Questi ultimi utilizzano presidi di misurazione, che hanno lo scopo di quantificare il rischio e di conseguenza determinare il fabbisogno minimo di mezzi propri atti a fronteggiarlo. Secondo la Vigilanza, infatti: “Gli strumenti di vigilanza patrimoniale, tipicamente i coefficienti patrimoniali, nell’imporre una dotazione di capitale minima per fronteggiare i rischi, propongono modelli di misurazione semplificati, non sufficienti da soli ad assicurare uno sviluppo equilibrato dell’impresa.Le Autorità di Vigilanza avvertono, quindi, l’esigenza di affiancare agli strumenti prudenziali di tipo quantitativo indicazioni volte a favorire, nel rispetto dell’autonomia imprenditoriale, la definizione nelle banche di un sistema dei controlli interni efficiente ed efficace” (Istruzioni di Vigilanza per le banche, Titolo IV, Cap. 11, Sez. I, § 1); 3) responsabilizzazione degli organi di vertice: la responsabilità ultima del sistema è posta in capo ai vertici aziendali (organi di supervisione strategica e controllo, organi di gestione, senior management); 4) indipendenza delle Funzioni di controllo (Internal Audit, Risk Management, Funzione Compliance) rispetto ai responsabili delle attività (business); 5) approccio strutturato e sistematico: il SCI opera secondo regole definite e formalizzate, relativamente alla ripartizione di compiti tra gli organi che lo compongono, alla strumentazione utilizzata, ai flussi di reportistica prodotta, ecc.; 6) governo proattivo dei rischi: il SCI risponde a una moderna concezione dei controlli; questi non sono intesi, secondo l’accezione tradizionale, come attività ex-post, di riscontro e ispettiva, bensì come strumenti anticipatori, di guida della gestione verso il raggiungimento dei suoi obiettivi, di utilizzo efficace ed efficiente delle risorse aziendali, di creazione di valore aziendale; 7) principio di proporzionalità: il grado di affinamento del sistema e di avanzamento delle soluzioni strumentali utilizzate non viene definito secondo modelli universalmente e astrattamente ottimali, ma dipende da fattori quali la complessità strategico-organizzativa della banca, le sue dimensioni, la complessità e rischiosità del contesto fronteggiato.

Disposizioni in materia di sistema dei controlli interni Tipologie dei CONTROLLI previsti dalla Banca d’Italia (Circolare della Banca d'Italia n. 229): Controlli di primo livello (o di linea), diretti ad assicurare il corretto svolgimento delle operazioni. Sono effettuati dalle stesse strutture produttive o incorporati nelle procedure o eseguiti dalle attività di back office. Controlli di secondo livello (o di gestione dei rischi) sono definiti dalla normativa come quei controlli che “hanno l’obiettivo di concorrere alla definizione delle metodologie di misurazione del rischio, di verificare il rispetto dei limiti assegnati alle varie Funzioni operative e di controllare la coerenza dell’operatività delle singole aree produttive con gli obiettivi di rischio-rendimento assegnati. Essi sono affidati a strutture diverse da quelle produttive”. Nell’ambito dei controlli di secondo livello rientra, insieme al Risk management e alla Programmazione e controllo, la Funzione compliance. Controlli di terzo livello (o di revisione interna, audit) riguardano tanto la valutazione della funzionalità e adeguatezza dello SCI nel suo complesso, quanto la verifica della correttezza dei comportamenti e della corretta applicazione delle procedure (tradizionali controlli ispettivi). Supervisione strategica, individua gli orientamenti strategici e le politiche di gestione del rischio e ne verifica nel continuo la loro attuazione. Flussi informativi Ogni rischio aziendale, per essere efficacemente governato, deve essere soggetto ai livelli di controllo menzionati. Il sistema dei controlli interni deve coprire tutte le tipologie di rischio: di credito, di tasso di interesse, di mercato, di liquidità, operativi, di regolamento, di frode e infedeltà dei dipendenti, legali, di reputazione, ecc. Ferma restando l'autonoma responsabilità aziendale in ordine alle scelte effettuate in materia di assetto dei controlli interni, le banche pongono in essere soluzioni organizzative che: — assicurino la necessaria separatezza tra le funzioni operative e quelle di controllo ed evitino situazioni di conflitto di interesse nell'assegnazione delle competenze; — siano in grado di identificare, misurare e monitorare adeguatamente tutti i rischi assunti o assumibili nei diversi segmenti operativi; — stabiliscano attività di controllo a ogni livello operativo e consentano l'univoca e formalizzata individuazione di compiti e responsabilità, in particolare nei compiti di controllo e di correzione delle irregolarità riscontrate; — assicurino sistemi informativi affidabili e idonee procedure di reporting ai diversi livelli direzionali ai quali sono attribuite funzioni di controllo; — garantiscano che le anomalie riscontrate dalle unità operative, dalla funzione di revisione interna o da altri addetti ai controlli siano tempestivamente portate a conoscenza di livelli appropriati dell'azienda (del consiglio di amministrazione e del collegio sindacale, se significative) e gestite con immediatezza; — consentano la registrazione di ogni fatto di gestione e, in particolare, di ogni operazione con adeguato grado di dettaglio, assicurandone la corretta attribuzione sotto il profilo temporale. Il sistema dei controlli interni deve essere periodicamente soggetto a ricognizione e validazione in relazione all'evoluzione dell'operatività aziendale e al contesto di riferimento. FLUSSI INFORMATIVI: La circolazione di informazioni tra gli organi sociali e all’interno di questi costituisce un ulteriore rilevante architrave di assetti organizzativi e di controllo ben funzionanti. In mancanza di informazioni complete, tempestive e accurate non può essere assicurata la piena valorizzazione dei diversi livelli di responsabilità e il consapevole contributo di tutti alla realizzazione delle strategie aziendali e alla verifica della adeguatezza e regolarità della gestione. Ciò appare particolarmente evidente in situazioni di criticità in cui la trasmissione di informazioni - sia in senso orizzontale, tra strutture, che verticale, verso gli organi di supervisione strategica e controllo - consente di assumere le decisioni o le iniziative di presidio dei rischi più opportune in relazione all’evoluzione del mercato. Sul punto le disposizioni di vigilanza della Banca d’Italia sottolineano la necessità di formalizzare flussi che consentano la circolazione di informazioni proporzionate e tempestive. Tali flussi devono essere direttamente rivolti dalle strutture verso gli organi di supervisione strategica e di controllo; qualsiasi intermediazione potrebbe infatti compromettere la significatività e l’integrità delle informazioni o semplicemente rallentarne la ricezione, inficiando così la qualità della risposta da parte dei vertici aziendali.

B - La gestione e il controllo dei rischi: ruolo degli organi aziendali Circolare della Banca d'Italia n. 263 (regolamentazione prudenziale di recepimento di Basilea 2): “Al fine di fronteggiare i rischi a cui possono essere esposte, le banche si dotano di idonei dispositivi di governo societario e di adeguati meccanismi di gestione e controllo. Tali presidi si inseriscono nella più generale disciplina dell’organizzazione e del sistema dei controlli interni volta ad assicurare una gestione improntata a canoni di efficienza, efficacia e correttezza” (Per gli aspetti non disciplinati dalle presenti disposizioni si fa rinvio alla citata Circolare n. 229 del 21 aprile 1999 ). I suddetti presidi devono coprire ogni tipologia di rischio aziendale coerentemente con le caratteristiche, le dimensioni e la complessità delle attività svolte dalla banca. Le banche formalizzano le politiche per il governo dei rischi, procedono al loro riesame periodico al fine di assicurarne l’efficacia nel tempo e vigilano sul concreto funzionamento dei processi di gestione e controllo dei rischi”. “La responsabilità primaria è rimessa agli organi di governo della banca, ciascuno secondo le rispettive competenze. L’articolazione dei compiti e delle responsabilità degli organi e delle funzioni aziendali deve essere chiaramente definita”; “Indipendentemente dal sistema di amministrazione e controllo adottato (tradizionale, dualistico, monistico), le funzioni di supervisione strategica, di gestione e di controllo sono assegnate agli organi societari in coerenza con la disciplina civilistica e con le presenti disposizioni”. La funzione di supervisione strategica e quella di gestione attengono, unitariamente, alla gestione dell’impresa e possono quindi essere incardinate nello stesso organo aziendale. La distinzione operata nei paragrafi seguenti tiene conto L’espressione “organo con funzione di supervisione strategica” si riferisce all’organo al quale - ai sensi del codice civile o per disposizione statutaria - sono attribuite funzioni di indirizzo della gestione sociale (ad esempio, mediante esame e delibera in ordine ai piani industriali o finanziari ovvero alle operazioni strategiche della società); l’espressione “organo con funzione di gestione” si riferisce all’organo al quale spettano o sono delegati compiti di gestione corrente, intesa come attuazione degli indirizzi deliberati nell’esercizio della funzione di supervisione strategica. Il collegio sindacale, il consiglio di sorveglianza e il comitato per il controllo sulla gestione sono, nei diversi modelli, gli “organi con funzione di controllo”. Le disposizioni di recepimento di Basilea 2 riconoscono ed affermano espressamente la responsabilità di ciascuna banca nel definire il proprio profilo di rischio e nel commisurare ad esso i mezzi patrimoniali necessari, dando alle banche più evolute anche la possibilità di avvalersi di metodi avanzati di misurazione dei rischi. Basilea 2 considera i requisiti organizzativi il più efficace presidio per i rischi non pienamente misurabili (ad es. compliance, reputazionali).

(segue) La gestione e il controllo dei rischi: ruolo degli organi aziendali Circolare della Banca d'Italia n. 263 (regolamentazione prudenziale di recepimento di Basilea 2): COMPITI DELL’ORGANO DI SUPERVISIONE STRATEGICA “individua gli orientamenti strategici e le politiche di gestione del rischio, provvedendo al loro riesame periodico al fine di assicurarne l’efficacia nel tempo; assicura nel continuo che i compiti e le responsabilità siano allocati in modo chiaro e appropriato, con particolare riguardo ai meccanismi di delega; verifica che l’assetto delle funzioni di controllo dei rischi sia definito in coerenza con gli indirizzi strategici, che le funzioni medesime abbiano un’autonomia di giudizio appropriata e che siano fornite di risorse qualitativamente e quantitativamente adeguate; si assicura che venga approntato un sistema di flussi informativi in materia di gestione e controllo dei rischi accurato, completo e tempestivo; garantisce che la funzionalità, l’efficienza e l’efficacia del sistema di gestione e controllo dei rischi siano periodicamente verificate e che i risultati di tali verifiche siano portati a conoscenza del medesimo organo di supervisione; nel caso emergano carenze o anomalie, promuove con tempestività idonee misure correttive; con riferimento al processo interno di determinazione del’adeguatezza patrimoniale (ICAAP – Secondo Pilastro di Basilea 2), definisce e approva le linee generali del processo, ne assicura l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento e promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa”. I principali compiti dell’organo di supervisione strategica: a) individua gli orientamenti strategici e le politiche di gestione del rischio, provvedendo al loro riesame periodico al fine di assicurarne l’efficacia nel tempo. Esso è consapevole dei rischi a cui la banca si espone, conosce e approva le modalità attraverso le quali i rischi stessi sono rilevati e valutati; b) assicura nel continuo che i compiti e le responsabilità siano allocati in modo chiaro e appropriato, con particolare riguardo ai meccanismi di delega; c) verifica che l’assetto delle funzioni di controllo dei rischi sia definito in coerenza con gli indirizzi strategici, che le funzioni medesime abbiano un’autonomia di giudizio appropriata e che siano fornite di risorse qualitativamente e quantitativamente adeguate; d) si assicura che venga approntato un sistema di flussi informativi in materia di gestione e controllo dei rischi accurato, completo e tempestivo; e) garantisce che la funzionalità, l’efficienza e l’efficacia del sistema di gestione e controllo dei rischi siano periodicamente verificate e che i risultati di tali verifiche siano portati a conoscenza del medesimo organo di supervisione; nel caso emergano carenze o anomalie, promuove con tempestività idonee misure correttive; f) con riferimento al processo Internal Capital Adeguacy Assessment Process (ICAAP) – Secondo Pilastro di Basilea 2, definisce e approva le linee generali del processo, ne assicura l’adeguamento tempestivo in relazione a modifiche significative delle linee strategiche, dell’assetto organizzativo, del contesto operativo di riferimento e promuove il pieno utilizzo delle risultanze dell’ICAAP a fini strategici e nelle decisioni d’impresa. Inoltre, con riguardo ai rischi di credito, l’organo di supervisione strategica approva le linee generali del sistema di gestione delle tecniche di attenuazione del rischio che presiede all’intero processo di acquisizione, valutazione, controllo e realizzo degli strumenti di Credit Risk Mitigation utilizzati.

(segue) La gestione e il controllo dei rischi: ruolo degli organi aziendali Circolare della Banca d'Italia n. 263 (regolamentazione prudenziale di recepimento di Basilea 2): COMPITI DELL’ORGANO CON FUNZIONE DI GESTIONE “verifica nel continuo l’efficienza e l’efficacia complessiva del sistema di gestione e controllo dei rischi, provvedendo al suo adeguamento in relazione alle carenze o anomalie riscontrate, ai cambiamenti del contesto di riferimento o a seguito dell’introduzione di nuovi prodotti, attività o processi rilevanti; definisce le responsabilità delle strutture e delle funzioni aziendali coinvolte in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti di interesse; assicura, altresì, che le attività rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio ed in possesso di esperienze e conoscenze proporzionate ai compiti da svolgere; definisce i flussi informativi volti ad assicurare agli organi aziendali e alle funzioni di controllo la piena conoscenza e governabilità dei fattori di rischio; con riferimento al processo ICAAP, dà attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse quali-quantitativamente adeguate e dotate dell’autorità necessaria a far rispettare la pianificazione; sia parte integrante dell’attività gestionale”. I principali compiti dell’organo con funzione di gestione (che è responsabile dell’istituzione e del mantenimento di un efficace sistema di gestione e controllo dei rischi, in attuazione degli indirizzi strategici): a) verifica nel continuo l’efficienza e l’efficacia complessiva del sistema di gestione e controllo dei rischi, provvedendo al suo adeguamento in relazione alle carenze o anomalie riscontrate, ai cambiamenti del contesto di riferimento o a seguito dell’introduzione di nuovi prodotti, attività o processi rilevanti; b) definisce le responsabilità delle strutture e delle funzioni aziendali coinvolte in modo che siano chiaramente attribuiti i relativi compiti e siano prevenuti potenziali conflitti di interesse; assicura, altresì, che le attività rilevanti siano dirette da personale qualificato, con adeguato grado di autonomia di giudizio ed in possesso di esperienze e conoscenze proporzionate ai compiti da svolgere; c) definisce i flussi informativi volti ad assicurare agli organi aziendali e alle funzioni di controllo la piena conoscenza e governabilità dei fattori di rischio; d) con riferimento al processo ICAAP, dà attuazione a tale processo curando che lo stesso sia rispondente agli indirizzi strategici e che soddisfi i seguenti requisiti: consideri tutti i rischi rilevanti; incorpori valutazioni prospettiche; utilizzi appropriate metodologie; sia conosciuto e condiviso dalle strutture interne; sia adeguatamente formalizzato e documentato; individui i ruoli e le responsabilità assegnate alle funzioni e alle strutture aziendali; sia affidato a risorse quali-quantitativamente adeguate e dotate dell’autorità necessaria a far rispettare la pianificazione; sia parte integrante dell’attività gestionale. Inoltre, con specifico riferimento ai rischi di credito, l’organo di gestione, in linea con gli indirizzi strategici, approva specifiche linee guida volte ad assicurare l’efficacia del sistema di gestione delle tecniche di attenuazione del rischio e a garantire il rispetto dei requisiti generali e specifici di tali tecniche.

(segue) La gestione e il controllo dei rischi: ruolo degli organi aziendali Circolare della Banca d'Italia n. 263 (regolamentazione prudenziale di recepimento di Basilea 2): COMPITI DELL’ORGANO CON FUNZIONE DI CONTROLLO “vigila sull’adeguatezza e sulla rispondenza del sistema di gestione e controllo dei rischi, nonché del processo ICAAP, ai requisiti stabiliti dalla normativa. per lo svolgimento delle proprie attribuzioni, tale organo dispone di adeguati flussi informativi da parte degli altri organi aziendali e delle funzioni di controllo interno”. FOCUS SULLA FUNZIONE DI CONTROLLO DI SECONDO LIVELLO, ad esempio: a) Risk management: la Circolare 263 prevede funzioni di controllo competenti per le diverse tipologie di rischio (Credit Risk Management, Market Risk Management, Operational Risk Management). b) Funzione compliance: le Disposizioni di vigilanza del 10 luglio 2007 istituisce la funzione di compliance che è parte integrante del sistema dei controlli interni. Risk management: La Circolare 263 tratta per ciascuna tipologia di rischio i presidi organizzativi e di controllo di cui le banche devono dotarsi. Tali presidi si inseriscono nella più generale disciplina dell’organizzazione e del sistema dei controlli interni volta ad assicurare una gestione improntata a canoni di efficienza, efficacia e correttezza. Requisiti più stringenti sono previsti per l’adozione dei sistemi interni di misurazione dei rischi (in particolare, rischio di credito e rischio di mercato) per la determinazione dei requisiti patrimoniali. FUNZIONE COMPLIANCE: La Banca d'Italia ha emanato, lo scorso 10 luglio 2007, disposizioni di vigilanza per le banche in materia di conformità alle norme (compliance). In linea con gli orientamenti emersi in sede internazionale, vengono definiti ruolo e responsabilità degli organi di vertice delle banche in materia ed è prevista la costituzione della funzione di compliance, quale elemento integrante del sistema dei controlli interni. La funzione compliance è preposta al presidio e alla gestione del rischio di incorrere in sanzioni giudiziarie amministrative, perdite finanziarie rilevanti o danni di reputazione in conseguenza di violazioni di norme imperative o di autoregolamentazione (rischio di compliance). Le disposizioni della Banca d’Italia stabiliscono i principali compiti e i requisiti qualitativi minimi della funzione di compliance, le attribuzioni del suo responsabile, le interrelazioni con le altre funzioni aziendali. In attuazione del principio di proporzionalità, esse recano previsioni particolari per l'articolazione della funzione all'interno dei gruppi bancari e nelle realtà aziendali minori. Ovvero le banche di dimensioni contenute o caratterizzate da una limitata complessità operativa possono affidare lo svolgimento della funzione di conformità alle strutture esistenti incaricate della gestione dei rischi o a soggetti terzi (es. altre banche ovvero organismi associativi di categoria), purché dotati di requisiti idonei in termini di professionalità e indipendenza. In ogni caso deve essere nominato un responsabile della funzione all’interno dell’azienda, dotato delle caratteristiche e prerogative indicate nel paragrafo seguente, al quale spettano il compito di referente interno per il soggetto incaricato della funzione nonché la complessiva supervisione dell’attività di gestione del rischio, posto che la responsabilità per la corretta gestione del rischio di non conformità resta in capo alla banca.

(segue) La gestione e il controllo dei rischi: ruolo degli organi aziendali FOCUS SULLA FUNZIONE DI COMPLIANCE: Secondo le disposizioni di vigilanza del 10 luglio 2007: - la funzione assume il ruolo di referente unico dell’intero processo di compliance, in quanto interlocutore univoco del Consiglio di Amministrazione e del top management sui rischi di compliance; - “il responsabile deve possedere requisiti adeguati di indipendenza, autorevolezza e professionalità. La nomina e la revoca del responsabile della conformità sono di competenza, esclusiva e non delegabile, del consiglio di amministrazione (consiglio di gestione) sentito il collegio sindacale (consiglio di sorveglianza). Le banche provvedono a comunicare tempestivamente alla Banca d'Italia la nomina e l’eventuale revoca del responsabile della conformità”. - “la funzione deve essere indipendente dalle funzioni operative e dalle altre funzioni di controllo, dotata di risorse adeguate ai compiti da svolgere e accedere a tutte le attività della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche nonché a qualsiasi informazione rilevante per lo svolgimento dei propri compiti, anche attraverso il colloquio diretto con il personale”; - “la funzione collabora con le altre funzioni presenti in azienda (es. revisione interna, controllo del rischio operativo, funzione legale, organizzazione, organismo di vigilanza individuato ai sensi della legge 231/2001, ecc.) allo scopo di sviluppare le proprie metodologie di gestione del rischio in modo coerente con le strategie e l’operatività aziendale, disegnando processi conformi alla normativa e prestando ausilio consultivo”. - “l’adeguatezza ed efficacia della funzione di conformità devono essere sottoposte a verifica periodica da parte della revisione interna. Ne consegue che, per assicurare l’imparzialità delle verifiche, la funzione di conformità non può essere affidata alla funzione di revisione interna”. - “le decisioni strategiche a livello di gruppo in materia di gestione del rischio di non conformità sono rimesse agli organi aziendali della capogruppo”. FUNZIONE COMPLIANCE: Il rischio di compliance è stato oggetto di gestione anche in passato, da parte di diverse Funzioni aziendali (Legale, Organizzazione, Internal Audit). All’Internal Audit, in qualità di organo referente del SCI nel suo complesso, era affidata la verifica di adeguatezza degli strumenti posti a garanzia della conformità di processi e comportamenti alle norme esterne ed interne. Rispetto alla situazione passata, le principali novità che la normativa sulla compliance introduce nella gestione del RCo sono le seguenti: - un governo strutturato e sistematico del rischio di compliance, ottenuto attraverso una duplice via: l’istituzione di un apposito organo dedicato che sovrintende a tale rischio (la Funzione Compliance) e la previsione di processi, meccanismi operativi e presidi organizzativi ad hoc; si introducono modalità organizzative più focalizzate ed efficaci nella gestione di questo tipo di rischio; esso assume valenza e dignità autonome e richiede di essere presidiato con meccanismi ad hoc analoghi a quelli in essere per altri tipi di rischio; - una particolare enfasi su un orientamento proattivo e anticipatorio del rischio in oggetto, riconducibile al mandato e ai compiti assegnati all’apposita Funzione: da una logica di “controllo ex post e a norma” si passa a una logica di “prevenzione e gestione del rischio”; il ruolo preventivo che la Funzione Compliance è chiamata a svolgere si estrinseca attraverso alcune delle sue attività: la definizione/validazione ex ante delle regole interne e dei presidi di controllo, la consulenza al management, la formazione al personale, il supporto alle scelte strategiche e organizzative riguardanti nuove attività (ad esempio, lancio di nuovi prodotti, entrata in nuovi mercati, M&A, ecc.); - in prospettiva, il ricorso a strumenti di misurazione quantitativa del rischio di compliance, se pur non facili da identificare; tra i compiti assegnati agli organi di controllo di secondo livello (inclusa quindi la Funzione Compliance) rientra infatti quello di: “concorrere alla definizione delle metodologie di misurazione del rischio”; - con riferimento al SCI nel suo complesso, si ottiene un ampliamento della nozione di controlli interni e di rischio; si dà infatti evidenza a profili quali la correttezza e l’integrità dei comportamenti, la tutela degli interessi degli stakeholder “esterni” (clientela, ambiente, fornitori), il rispetto degli impegni di valenza sociale della banca (Corporate Social Responsibility); il rischio di reputation viene riconosciuto di importanza fondamentale e posto accanto ai rischi caratteristici, su cui si è maggiormente concentrata in passato l’attenzione delle banche.

(segue) La gestione e il controllo dei rischi: ruolo degli organi aziendali FOCUS SULLA FUNZIONE DI CONTROLLO DI TERZO LIVELLO (ATTIVITA’ DI REVISIONE INTERNA): Definizione di attività di revisione interna: secondo le disposizioni della Banca d’Italia (cfr. Circolare 229), l'attività di revisione interna nelle banche deve essere svolta “da una funzione indipendente (internal audit) volta da un lato a controllare, anche con verifiche in loco, la regolarità dell'operatività e l'andamento dei rischi, dall'altro a valutare la funzionalità del complessivo sistema dei controlli interni e a portare all'attenzione del consiglio di amministrazione e dell'alta direzione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure”. “I compiti e le responsabilità dell'internal audit sono definiti dall'alta direzione e tengono conto delle caratteristiche del complessivo apparato dei controlli, delle dimensioni, della rete territoriale, delle specificità operative della banca. La regolamentazione dell'attività dell'internal audit è approvata dal consiglio di amministrazione”. “È comunque necessario che l'internal audit: non dipenda gerarchicamente da alcun responsabile di aree operative; sia dotato di personale qualitativamente e quantitativamente adeguato ai compiti da svolgere; abbia accesso a tutte le attività della banca svolte sia presso gli uffici centrali sia presso le strutture periferiche”. “Nelle banche di dimensioni contenute, la limitata complessità operativa può rendere eccessivamente oneroso destinare stabilmente personale alla funzione di internal audit. In tali casi, è possibile affidare a soggetti terzi (altre banche, società di revisione ovvero gli organismi associativi di categoria) lo svolgimento di tale funzione”. SEPARATEZZA TRA LA FUNZIONE COMPLIANCE E LA FUNZIONE DI AUDIT: L’Internal Audit (IA) ha il compito di: “valutare la funzionalità del complessivo sistema dei controlli interni e portare all’attenzione del consiglio di amministrazione e dell’alta direzione i possibili miglioramenti alle politiche di gestione dei rischi, agli strumenti di misurazione e alle procedure” (Banca d’Italia, Istruzioni di Vigilanza per le banche, Titolo IV, Capitolo 11, Sezione II, § 3). Per esercitare tale ruolo, l’IA dovrà evidentemente essere autonomo e indipendente rispetto alla Funzione Compliance. L’IA vigila quindi su quest’ultima e relaziona periodicamente agli organi sociali e al senior management sullo stato dell’arte dei controlli. In ottemperanza a tali obiettivi l’IA assoggetta il sistema dei controlli di compliance complessivo al proprio modello di controlli di terzo livello, con l’obiettivo di: a) valutare a priori l’efficacia e la robustezza del sistema di gestione del rischio di non conformità alle norme; b) controllare che la Funzione Compliance svolga correttamente e porti a termine le attività operative che le sono state attribuite; c) verificare che la Funzione Compliance sia dotata di competenze e risorse economiche adeguate per lo svolgimento delle attività attribuitele. Coerentemente con il proprio modello complessivo, l’IA monitora e verifica l’adeguatezza del modello di compliance interagendo direttamente con la Funzione preposta in diverse modalità: a) svolge ispezioni periodiche presso la Funzione, volte ad evidenziare anomalie o la mancata applicazione di regole e procedure; b) verifica periodicamente la corretta tenuta di registri e documentazione a supporto di processi ed attività svolte in ottemperanza del modello di compliance adottato (ad esempio, risk assessment, registri di conflitti di interesse, ecc.); c) riceve periodicamente report di sintesi relativamente alle principali aree e tematiche oggetto di rischio di non conformità, in modo da agevolare l’attività di monitoraggio del sistema dei controlli interni ed avere una conoscenza sempre aggiornata del contesto operativo aziendale (ad esempio, segnalazioni di operazioni sospette antiriciclaggio, operazioni sospette Market Abuse, segnalazione conflitti d’interesse alla clientela ecc.). PUNTI DI CONTATTO TRA LA FUNZIONE COMPLIANCE E LA FUNZIONE DI AUDIT: Oltre ai compiti appena descritti, di valutazione della qualità dei sistemi di controllo, la IA ne svolge altri, profondamente diversi. Sono quelli riconducibili alla tradizionale funzione dell’Ispettorato e consistenti nelle verifiche formali, a norma, sulla puntuale osservanza di norme e procedure e sulla correttezza dei comportamenti messi in atto dagli operatori aziendali. Mentre nel caso precedente i due organi restano assolutamente separati e legati da una relazione controllato-controllore, in questo caso i compiti dell’IA presentano punti di contatto con quelli della Funzione Compliance e tra le due Funzioni si possono sviluppare feconde sinergie. L’IA infatti può farsi carico, attraverso appositi accordi di servizio, delle verifiche in loco previste dal modello stesso di compliance. In accompagnamento del servizio reso, l’IA produce verso l’organo di compliance flussi informativi e reportistica aventi ad oggetto situazioni di disallineamento verso la normativa esterna, mancata osservanza delle procedure interne, illeciti o inadempienze da parte del personale. Assegnare l’effettuazione dei controlli ex-post di conformità all’IA, oltre che evitare duplicazioni nell’attività di verifica, è coerente con la considerazione secondo la quale la logica di azione della Funzione Compliance sembra maggiormente improntata ai controlli preventivi ed ex-ante (la Funzione è più un “architetto di regole e controlli” che un “controllore”).

C. Informativa al mercato sui rischi e sulle relative politiche di copertura e gestione Le banche devono fornire al mercato, tramite il bilancio IAS/IFRS e il terzo pilastro di Basilea 2, l’informativa in merito ai rischi (rischio di credito, di mercato, di liquidità, operativo) e alle relative politiche di gestione e di copertura. In particolare, per ciascuna categoria di rischio vengono fornite informazioni: sulle strategie e sui processi per la gestione dei rischi; sulla struttura e sull’organizzazione della pertinente funzione di gestione del rischio; sulle caratteristiche dei sistemi di misurazione e di reporting del rischio; sulle politiche di copertura e di attenuazione del rischio, sulle strategie e sui processi per la verifica continuativa della loro efficacia. La nuova struttura della regolamentazione prudenziale si basa su “tre pilastri”. Il primo introduce un requisito patrimoniale per fronteggiare i rischi tipici dell’attività bancaria e finanziaria (di credito, di controparte, di mercato e operativi); a tal fine sono previste metodologie alternative di calcolo dei requisiti patrimoniali caratterizzate da diversi livelli di complessità nella misurazione dei rischi e nei requisiti organizzativi e di controllo. Il secondo richiede alle banche di dotarsi di una strategia e di un processo di controllo dell’adeguatezza patrimoniale, attuale e prospettica, rimettendo all’Autorità di vigilanza il compito di verificare l’affidabilità e la coerenza dei relativi risultati e di adottare, ove la situazione lo richieda, le opportune misure correttive. Il terzo introduce obblighi di informativa al pubblico riguardanti l’adeguatezza patrimoniale, l’esposizione ai rischi e le caratteristiche generali dei relativi sistemi di gestione e controllo. Alcune banche italiane (Unicredit, MPS e Credem) che sono state autorizzate (entro il 30 giugno 2008) dalla Banca d’Italia ad utilizzare i sistemi interni per il calcolo dei requisiti patrimoniali sui rischi di credito o operativi, hanno pubblicato la prima informativa da terzo pilastro riferita al 30 giugno 2008. Dal 31.12.2008 sono obbligate a pubblicare l’informativa da terzo pilastro: su base individuale (ad eccezione, ad esempio, delle banche italiane appartenenti ad un gruppo bancario e delle banche italiane non appartenenti ad un gruppo bancario, se sono imprese di riferimento oppure sono controllate da un'impresa madre europea ed hanno un attivo totale di bilancio inferiore a 10 miliardi di euro) e su base consolidata (ad eccezione, ad esempio, dei gruppi bancari controllati da un'impresa madre europea quando il loro attivo totale di bilancio è inferiore a 10 miliardi di euro). Il terzo pilastro è disciplinato dalla Circolare 263/2006: Le informazioni sono pubblicate attraverso il sito internet della banca. Le banche per le quali tale modalità di diffusione risulti difficoltosa o onerosa pubblicano le informazioni nel sito internet della rispettiva associazione di categoria oppure a stampa. Le banche rendono noto nel bilancio (Nota integrativa, Parte E) il mezzo utilizzato per pubblicare le informazioni. Le informazioni sono pubblicate almeno una volta l’anno, entro i termini previsti per la pubblicazione del bilancio. Le banche autorizzate ad utilizzare i sistemi interni per il calcolo dei requisiti patrimoniali sui rischi di credito od operativi pubblicano, almeno semestralmente, le informazioni di carattere quantitativo contenute nelle tavole allegate e, almeno trimestralmente, le informazioni di carattere quantitativo delle tavole relative al patrimonio di vigilanza ed all’adeguatezza patrimoniale. La pubblicazione ha luogo rispettivamente entro 60 giorni dalla fine del primo semestre dell’esercizio ed entro quarantacinque giorni dalla fine del primo e terzo trimestre dell’esercizio. (…)”.

Il “Rafforzamento del governo societario nelle organizzazioni bancarie” (Comitato Basilea 2006) Le Disposizioni di Vigilanza in materia di governo societario (Banca d’Italia 2008) Le Disposizioni di Vigilanza in materia di compliance (Banca d’Italia 2007) La funzione di compliance nel contesto MIFID (regolamento congiunto Banca d’Italia/Consob 2007) Le Nuove disposizioni di vigilanza prudenziali per le banche per la gestione e il controllo dei rischi (Banca d’Italia 2006) La revisione della disciplina del Sistema dei Controlli Interni (Banca d’Italia, in fieri)

Profili evolutivi della disciplina di vigilanza in materia di controlli interni E’ stato annunciato dalla Banca d’Italia un riassetto delle vigenti istruzioni di vigilanza in materia di controlli interni per ricondurre ad unità e coordinare i diversi interventi che hanno interessato nel tempo la materia. La disciplina sulla compliance ha reso obbligatoria per tutte le banche l’istituzione di una nuova funzione di controllo di secondo livello, che opera seguendo principi e tecniche proprie della gestione dei rischi e contribuisce ad assicurare la conformità dell’operato dell’intermediario a tutte le normative rilevanti. La regolamentazione prudenziale di recepimento di Basilea 2 prevede funzioni di controllo, sempre di secondo livello, competenti per le diverse tipologie di rischio. La MIFID e il relativo regolamento congiunto della Banca d'Italia e della Consob del 29 ottobre 2007 dedicano specifica attenzione all’articolazione del sistema dei controlli, differenziandoli in relazione ai soggetti abilitati e ai servizi di investimento prestati. E’, altresì, necessario che le banche adeguino il proprio sistema di controllo al nuovo contesto normativo e finanziario, avendo riguardo alle proprie caratteristiche di complessità operativa e dimensionale. Come di recente annunciato da Banca d’Italia, occorre restituire organicità, unitarietà e completezza alla materia dei controlli interni, coordinando le diverse iniziative normative e rivedendo la disciplina vigente per tener conto dell’evoluzione del contesto in cui le banche operano. Nel regolamentare il sistema dei controlli interni delle banche, l’Autorità di Vigilanza seguirà i medesimi criteri, ormai consolidati, propri delle normative attinenti all’organizzazione aziendale degli intermediari. Si tratterà di una regolamentazione principle based che indicherà i principi generali, integrati, ove necessario, da linee applicative e indicazioni sulle prassi virtuose. Il grado di prescrittività delle regole sarà informato al principio di proporzionalità, canone interpretativo e applicativo cui le banche dovranno far riferimento per trasporre le indicazioni di vigilanza nella specifica realtà aziendale. L’adozione della normativa seguirà le modalità proprie della better regulation: verrà preceduta dalla consultazione con il sistema bancario e con gli altri soggetti interessati; le opzioni normative prescelte saranno quelle che meglio bilanceranno l’efficacia delle regole e il minor sacrificio possibile per i soggetti regolati; verrà esplicitata la motivazione delle nuove disposizioni. Per quanto riguarda i contenuti, i temi centrali sui quali la Banca d’Italia intende agire sono: l’unitarietà e l’organicità del sistema dei controlli; il dialogo tra le diverse funzioni preposte; la valorizzazione di tutti gli obiettivi del controllo; la necessità di aggiornare nel continuo le modalità di misurazione e valutazione di tutti i rischi cui l’intermediario sia esposto o intenda esporsi. L’attuale frammentazione della disciplina in materia di controlli, sia del settore finanziario che delle società in generale ha fatto emergere preoccupazioni, soprattutto da parte degli operatori, circa il rischio di sovrapposizioni di competenze e duplicazioni di funzioni. La normativa societaria, recependo normative internazionali o per porre rimedio a possibili inefficienze, ha introdotto e disciplinato nuove figure di “controllori”. Si pensi al direttore finanziario, all’organismo di vigilanza previsto dal d. lgs. 231/2001 e, in prospettiva, al comitato audit previsto dalla normativa comunitaria in materia di revisione contabile di prossimo recepimento. Si tratta di organi e forme di controllo diversi, che in astratto hanno ruoli e status distinti; nel concreto occorre evitare che si verifichino confusioni di competenze. La sfida che attende i regolatori, secondo le competenze proprie di ciascuno, è realizzare la piena integrazione tra le diverse funzioni e la riconduzione ad unità di quelle tra di esse che hanno caratteristiche simili e svolgono compiti analoghi; occorrerà valorizzare le sinergie tra le diverse forme di controllo. Nei rapporti (di aprile e di ottobre) sulle cause e sulle debolezze di sistema che hanno portato alle turbolenze sui mercati finanziari, il Financial Stability Forum (FSF) sottolinea più volte, nella prospettiva di rafforzare la solidità dei mercati e degli intermediari, il valore strategico di un buon management e di un sistema dei controlli efficiente tali da proteggere sia l’integrità finanziaria delle imprese che i patrimoni della clientela.